Мошенники стартовали применять поддельные реестры неблокируемых сайтов для кражи данных

Злоумышленники стартовали регистрировать фишинговые сайты, которые имитируют перечень неблокируемых сервисов при отключениях мобильного интернета. Потребитель по инструкции сам проверяет доступность сайта в таком реестре и получает подтверждение. После этого человек передаёт мошенникам данные от «Госуслуг» или банковских карт. Злоумышленники создают целые сетки одностраничных сайтов и продвигают их в топах поисковиков, чтобы усыпить внимание пользователей.

О новой схеме рассказали в сервисе Smart Business Alert компании ЕСА ПРО, входящей в ГК «Кросс технолоджис». С начала марта 2026 года в компании обнаружили не менее 15 ресурсов, которые имитируют официальный реестр разрешённых сервисов. Одновременно отдельного официального реестра не существует, есть только публикации на сайте Минцифры.

Модель работает следующим образом. Человек получает ссылку от якобы сотрудника банка или провайдера, но не переходит по ней сразу. Потребитель открывает новую вкладку, заходит в поисковик и вбивает запрос про белый список. Поисковик выдаёт результаты, и человек кликает на начальный из них, который оказывается фейковым сайтом. На поддельном сайте потребитель видит плашку с логотипами госорганов и вводит туда ссылку, которую ему продиктовали мошенники. Для пользователя это выглядит как двойная тест безопасности, но на деле человек только что подтвердил мошенникам готовность к обману.

Белый список представляет собой перечень ресурсов и IP-адресов, которые не блокируются в случае отключения мобильного интернета. Список утверждают власти. Для вхождения в него служба или сайт должны соответствовать ряду требований, в частности по расположению серверов и невозможности скрывать IP-адрес. В список входят «Госуслуги», сайты госорганов и электронного голосования, соцсети и мессенджер компании VK, сервисы «Яндекса», сайты маркетплейсов и операторов связи.

В SBA отмечают, что такие схемы уже используются в разных сценариях. Это могут быть звонки из якобы органов власти, ненастоящие розыгрыши и проверки от домофонных компаний. Злоумышленники сами могут выслать жертве ссылку для подтверждения полномочий звонящего с использованием «Госуслуг». Для убедительности мошенники направляют ссылку на так называемый официальный реестр, в который уже включён фишинговый источник. В результате потребитель теряет контроль над своим аккаунтом.

Сценарии с липовыми белыми списками сегодня строятся вокруг двух механизмов. Начальный это подделка официальных порталов, для которых используются в том числе инструменты на основе искусственного интеллекта. Второй это продвижение таких подделок через контекстную рекламу в поисковиках.

Злоумышленники создают не просто поддельный веб-сайт, а целую сетку одностраничных маркетинговых сайтов. Эти лендинги агрессивно продвигают в топ «Яндекса» и Google по запросам вроде «проверить веб-сайт на безопасность», «белый список сайтов РФ» или «реестр доверенных ресурсов».

Большинство пользователей не понимают и не должны понимать, как устроены технологии у провайдеров или у Роскомнадзора. Когда человек встречает в сети веб-сайт, имитирующий белый список и оформленный достоверно, довольно легко поддаться соблазну и перейти по указанным на сайте ссылкам.