Фишинговые сайты, фальшивые ссылки: как мошенники воруют трафик у бизнеса и что с этим делать

В первом полугодии 2025 года фишинговые сайты появлялись быстрее, чем их успевали блокировать, — всего, согласно исследованию разработчика решений в сфере информационной безопасности F6, выявили более 550 мошеннических доменов, которые маскировались под реальные инвестиционные сайты. В целом же фишинг остается наиболее популярным инструментом социальной инженерии и занимает 58% от всех мошеннических схем. По данным компании «Информзащита», большинство фишинговых ссылок размещаются на доверенных доменах, что позволяет мошенникам долго оставаться незамеченными.

Перехват трафика — один из самых незаметных, но при этом наиболее опасных видов цифрового мошенничества. В отличие от кибератак, вызывающих прямые сбои или утечки данных, кража трафика не сопровождается авариями, а приводит к постепенной потере клиентов, снижению эффективности маркетинга и репутационным рискам.

Сценарии могут различаться, но цель всегда одинакова — перенаправить пользователя, который уже проявил интерес к бренду, на поддельный или сторонний ресурс.

Домены с опечатками

Распространенный способ — регистрация доменных имен с опечатками и фонетически схожим написанием. Например, злоумышленники регистрируют example.ru вместо exampel.ru. Попав на такой сайт, клиент может не заметить подмены — особенно если визуально страница копирует оригинал.

В одном из случаев в службу поддержки нашего клиента обратился пользователь с вопросом об акции, которая уже завершилась. К письму была прикреплена ссылка на сайт, внешне полностью копирующий официальный ресурс компании. Различия были заметны лишь при внимательной проверке: в доменном имени присутствовала лишняя буква, а SSL/TLS-сертификат (цифровой сертификат, удостоверяющий подлинность веб-сайта. Англ. secure sockets layer, SSL — уровень защищенных сокетов. Англ. transport layer security, TLS — протокол защиты транспортного уровня. — Прим. ред.) отсутствовал.

По данным ИБ-компании BI.ZONE, фишинговые клоны создавались для 70–90% крупных российских компаний, включая банки и ретейлеров. Такие сайты могут перенаправлять посетителей на подменные сайты, показывать рекламу, собирать данные. Это особенно опасно для мобильных пользователей: на телефоне, как правило, не видно полной ссылки и подмена остается незамеченной.

Опасная реклама

Еще один способ украсть трафик — запустить контекстную рекламу по брендированным запросам. Как это происходит: злоумышленники создают поддельные сайты и запускают по ним контекстную рекламу, например, в Google или «Яндексе», а в объявлениях используют ключевые слова, связанные с брендом (название компании, продукта). Когда пользователь вводит запрос, например, «купить [бренд]» — первым он видит не официальный сайт, а фейковый, размещенный выше в выдаче благодаря рекламе, и переходит на него.

Другой наш клиент — крупная компания из сферы e-commerce заметила снижение трафика на одном из лендингов в ходе рекламной кампании: пользователи сообщали, что нашли сайт через рекламу, но чек после оплаты не приходил. Анализ выявил поддельный сайт, на который злоумышленники закупили рекламу в Google и «Яндексе» по брендированным запросам.

Фишинговые поддомены

Еще один прием — размещение поддельного контента на поддомене, в котором содержится указание бренда, например secure.brandname.example.ru. Такие страницы часто копируют визуально: наличие защищенного соединения не вызывает подозрений, и пользователь может ввести конфиденциальную информацию, думая, что находится на надежном ресурсе. Подобные сценарии особенно распространены при сборе логинов, паролей или платежных данных.

С этим видом мошенничества столкнулась крупная онлайн-платформа: злоумышленники рассылали письма, где ссылка вела на поддомен вида secure.[бренд].example.ru. На поддельной странице пользователям предлагалось ввести логин и пароль для «подтверждения учетной записи». После запроса в Роскомнадзор сайт заблокировали, а клиент подключил мониторинг доменов, чтобы специалисты регулярно проверяли регистрацию доменов, содержащих название бренда, и смогли быстро предотвратить утечку пользовательских данных в будущем.

В комбинации с контекстной рекламой и подменой ссылок подобные схемы позволяют злоумышленникам незаметно уводить значительную часть трафика, в том числе платного.

Подвох в рассылках

В корпоративных рассылках, мессенджерах и социальных сетях мошенники могут внедрять фальшивые ссылки при помощи редиректов или поддельного сокращателя ссылок (сервисы, сокращающие ссылки для удобство использования при пересылке). Особенно эффективно это работает во время акций и промокампаний: пользователь с меньшей вероятностью перепроверит URL, если будет ждать запуск акции. В результате часть трафика уходит на поддельные сайты и бизнес не замечает перераспределения аудитории.

Во время рекламной акции один из наших клиентов — крупный интернет-магазин — столкнулся с подделкой сокращенных ссылок: в рассылках злоумышленники распространяли похожий короткий домен, ведущий на фейковую страницу оплаты. Часть пользователей перевела деньги мошенникам.

Подмена «имен»

Наиболее технически сложный сценарий — подмена записей DNS (англ. Domain Name System — система доменных имен. — Прим. ред.). Если у домена отсутствуют базовые механизмы защиты, например двухфакторная аутентификация для доступа к панели управления или контроль за изменениями DNS-записей, существует риск подмены.

В этом случае весь трафик, включая обращения к сайту и почтовым серверам, может быть перенаправлен на сервер, контролируемый злоумышленником. Даже при корректном вводе адреса пользователь попадает на поддельный ресурс. Подобные атаки затрагивают не только сайт, но и всю связанную инфраструктуру — включая электронную почту, API (англ. application programming interface — интерфейс программирования приложения. — Прим. ред.) и внутренние сервисы.

Так, наш крупный клиент потерял доступ к почте: все входящие письма компании перенаправлялись на внешние серверы. Проверка показала, что DNS-записи домена были изменены злоумышленниками. Клиент использовал слабый пароль без двухфакторной аутентификации для панели управления. Руцентр помог восстановить настройки, внедрить мониторинг изменений DNS-зон и двухфакторную аутентификацию. Кроме того, клиент подключил срочные уведомления об изменении настроек и запрет на любые операции с доменом.

Это может быть лендинг с формой оплаты, личным кабинетом, регистрацией на услугу или обратной связью — любой интерфейс, через который пользователь вводит персональные и платежные данные. Полученную информацию мошенники затем используют для дальнейших атак: взлома аккаунтов, несанкционированных операций, рассылки фишинга или подменных звонков. И все это происходит за счет доверия пользователей к бренду.

Сложность в том, что такие атаки не всегда очевидны. CRM (customer relationship management — система управления взаимоотношениями с клиентами. — Прим. ред.), как правило, не покажет, сколько клиентов не дошли до формы заявки, потому что не попали в нужное место. Аналитика рекламных кампаний зафиксирует снижение конверсии, но не объяснит его причину. А большинство пользователей не проверяют доменные имена вручную, особенно на мобильных устройствах. Поэтому кража трафика зачастую становится заметной слишком поздно — когда ущерб уже нанесен.

Новые угрозы

Сегодня компании переходят на омниканальные модели коммуникации, чаще используют домены не только как входную точку для сайта, но и как инфраструктурную основу: для почты, CRM, лендингов, встраиваемых форм.

Дополнительным фактором стало распространение no-code (англ. no-code — без кода. — Прим. ред.) и low-code решений (англ. low-code — дословно «низкий код»). Имеются в виду платформы и методы разработки, которые позволяют создавать цифровые продукты с помощью визуальных инструментов, графических редакторов и готовых компонентов, минимизируя необходимость в написании кода вручную), с помощью которых сайты, витрины, формы заказов можно разворачивать за часы. Это снижает барьер входа не только для бизнеса, но и для злоумышленников.

При этом вопросы безопасности цифровой инфраструктуры, особенно управление доменом, часто остаются на втором плане. Доменное имя воспринимается как формальность, хотя на практике играет ключевую роль в защите трафика и репутации. Не все представители среднего и крупного бизнеса проводят регулярный аудит доменного портфеля, отслеживают регистрацию схожих имен и ведут контроль за появлением фальшивых ссылок в рекламе и рассылках. На этом фоне схемы перехвата трафика становятся практически невидимыми — до тех пор, пока не начинают сказываться на финансовых результатах.

При подмене трафика бизнес теряет не только потенциальную прибыль. Репутационные риски могут оказаться куда серьезнее.

• Пользователь считает, что столкнулся с настоящим брендом, и связывает негативный опыт с ним. Чем больше точек касания с клиентом и известнее бренд, тем серьезнее окажется репутационный ущерб.

• Клиенты могут передать данные карт, логины, пароли фишинговым сайтам.

• В случае масштабной подмены страдают рекламные кампании, аналитика и CRM-системы.

Как защитить трафик

Обеспечение безопасности трафика требует системного подхода. Недостаточно разовой технической настройки: важно выстроить базовую цифровую гигиену, при которой контроль за доменным именем, почтовой и DNS-инфраструктурой, репутацией в поисковой выдаче становится регулярной практикой.