В сфере информационной безопасности появляются всё новые угрозы, но некоторые из них, несмотря на свою простоту, остаются поразительно эффективными. Одной из таких угроз для обычных пользователей и компаний электронной коммерции стали масштабные сети мошеннических интернет-магазинов. Эти ресурсы, выглядящие как легитимные торговые площадки, создаются с единственной целью - похитить платёжные данные и персональную информацию покупателей. Последнее исследование выявило целую промышленную инфраструктуру, объединяющую более 20 000 таких сайтов, которые работают как конвейер по обману потребителей.
Описание
Фальшивые магазины представляют собой тщательно сконструированные веб-сайты, которые имитируют работу настоящих онлайн-ритейлеров. На них есть каталоги товаров, логотипы брендов, отзывы покупателей, корзина и полностью функциональная страница оформления заказа. Однако их обещания никогда не выполняются. В лучшем случае жертва получит дешёвую подделку, стоимость которой в разы ниже рекламируемой цены. В худшем - не получит ничего, зато её финансовая информация окажется в руках злоумышленников. Реальный товар здесь - это данные пользователей: реквизиты карт, адреса доставки и прочие личные сведения, которые затем перепродаются на теневых форумах или используются для мошенничества.
Проблема достигла беспрецедентных масштабов. Согласно данным разведки угроз, в первом квартале 2025 года количество афер с поддельными магазинами выросло на 790% по сравнению с аналогичным периодом прошлого года. Отчасти этот взрывной рост связан с экономической нестабильностью, которая подталкивает потребителей искать более выгодные предложения. В ходе расследования эксперты обнаружили кластер из более чем 20 000 подозрительных доменов, которые демонстрировали общие паттерны инфраструктуры. Подавляющее большинство из них использовало доменную зону .shop, которая стала фаворитом среди мошенников из-за низкой стоимости регистрации и правдоподобного вида. Этот домен верхнего уровня (TLD) теперь входит в число лидеров по количеству спама и вредоносной активности.
Глубокий анализ исходного кода страниц показал, что все эти сайты работают на базе WordPress и используют платформу Sellvia - легальный американский сервис для быстрого запуска дропшипинг-магазинов. Мошенники применяют готовые шаблоны, каталоги товаров и системы оплаты этой платформы, лишь меняя названия «брендов» на витрине. Фактически, все многообразие дизайнов сводится к двум базовым темам с косметическими вариациями, что создаёт иллюзию разных магазинов. Все эти домены, несмотря на их огромное количество, резолвятся всего на 36 IP-адресов. Такая концентрация нетипична для легитимного ритейла и является отличительной чертой массовых мошеннических операций. Активность сосредоточена в нескольких узких диапазонах IP, что указывает на использование определённых хостинг-провайдеров и настройку, рассчитанную на скорость: зарегистрировать домен, прикрепить шаблон, запустить сайт.
Эта модель повторяет франчайзинговые схемы, ранее замеченные в других сетях, таких как BogusBazaar, где центральная группа управляет серверами и шаблонами, а операторы запускают поверх них отдельные магазины. Когда один сайт блокируют, на его место моментально встаёт другой. Однако такая централизация является и слабым звеном злоумышленников: вывод из строя нескольких ключевых серверов может обрушить тысячи мошеннических площадок одновременно. Успех этих магазинов строится на эксплуатации привычного поведения покупателей: кликов по рекламе, переходов из поиска и доверия к полированному внешнему виду сайта. Психологическое давление усиливается за счёт ограниченных по времени предложений, таймеров обратного отсчёта и предупреждений о заканчивающемся товаре.
Для защиты от подобных угроз пользователям необходимо проявлять повышенную бдительность. Следует критически относиться к сайтам с незнакомыми доменами, особенно в зонах .shop, .top, .store, .xyz, если они предлагают товары по подозрительно низким ценам. Полезно проверять независимые отзывы о магазине в сети и обращать внимание на шаблонность дизайна - идентичные макеты под разными названиями являются ярким красным флагом. Настоятельно рекомендуется использовать защищённые методы оплаты, такие как кредитные карты с системой страхования или виртуальные карты, которые создают дополнительный барьер между вашими реквизитами и продавцом. Внедрение браузерных расширений для блокировки мошеннических сайтов также может стать эффективной превентивной мерой. В конечном счёте, ключевым защитным механизмом остаётся здравый смысл: если предложение выглядит слишком хорошим, чтобы быть правдой, скорее всего, так оно и есть.
Индикаторы компрометации
IPv4
- 108.59.1.151
- 108.59.12.118
- 108.59.14.13
- 108.59.8.97
- 108.62.0.220
- 108.62.116.82
- 108.62.117.45
- 162.210.195.105
- 162.210.195.113
- 162.210.198.37
- 162.210.199.12
- 162.210.199.183
- 162.210.199.235
- 192.96.200.81
- 198.7.58.168
- 198.7.58.87
- 199.115.115.2
- 207.244.102.13
- 207.244.109.109
- 207.244.126.106
- 207.244.126.19
- 207.244.126.21
- 207.244.67.158
- 207.244.69.201
- 207.244.71.143
- 207.244.89.198
- 207.244.91.203
- 23.105.160.43
- 23.105.172.14
- 23.105.8.15
- 23.105.8.17
- 23.105.8.19
- 23.82.11.26
- 23.82.13.161
- 23.82.13.34
- 5.79.69.45
