Один символ — миллион рублей: история киберобмана в агросекторе

Как всё началось

В разгар подготовки к посевной фермер Алексей Левшин искал нового поставщика удобрений. Партнёр, с которым он работал раньше, поднял цены, а сроки поджимали.

Он набрал в поиске привычный запрос «карбамид напрямую от производителя» и перешёл по первой ссылке в контекстной рекламе. Сайт выглядел узнаваемо: тот же дизайн, логотип с колосьями, разделы для фермеров, карта представительств.

Адрес домена отличался одной буквой, но это не бросалось в глаза. Всё выглядело официально. Сомнений в легитимности сайта не возникло, ведь на первой же странице пользователя встречает объявление «Осторожно мошенники! Только наш сайт является официальным».

Звонок

На звонок ответили сразу. Менеджер уточнил объёмы, предложил скидку «с завода», предложил дополнить заказ другими позициями и пообещал доставку до станции. Говорил спокойно и уверенно, как человек, который давно работает в отрасли.

Через час пришло коммерческое предложение на фирменном бланке с печатью и подписью.

Алексей проверил ИНН и банк, всё совпадало. Ничего не вызывало подозрений — на документе стоял знакомый логотип.

Перевод

Он перевёл чуть больше миллиона рублей. Получил накладную и номер вагона, подтвердил доставку и ждал.

Первые дни всё шло по плану: менеджер звонил, уточнял детали, выслал фото «партии со склада». Потом номер стал недоступен.

Алексей позвонил в головной офис производителя. Там ответили коротко: «Такого договора у нас нет. Мы не принимаем оплату на эти реквизиты».

Тогда он отправил платёжку и КП. Через час пришло письмо: «Сайт, на котором вы оформляли заказ, поддельный».

Реакция

Он попытался написать в форму обратной связи на сайте. В ответ получил сообщение: «Рекомендуем обратиться в полицию». Тогда фермер понял, что потерял кредитные деньги. В полиции заявление приняли, но сразу предупредили: вернуть деньги будет сложно.

Масштаб

Через неделю в аграрных чатах появились одинаковые предупреждения: «Фейковый сайт поставщика», «Не переводите предоплату».

Схема повторялась: звонок, документы, печать, счёт с похожими реквизитами. Потери доходили до нескольких миллионов.

В обсуждениях спорили, кто виноват — покупатели, не проверившие контрагента, или компании, не отследившие использование своего бренда.

Вторая волна

Через пару месяцев начали поступать звонки в колл-центры настоящих поставщиков. Люди требовали вернуть товар или деньги, присылали квитанции и накладные. Некоторые пострадавшие, приехав на профильные мероприятия, разыскивали «официальных» представителей. Сравнение показало: совпадало всё — дизайн, подпись, даже контактные данные, кроме одной буквы в домене.

Фермеры приходили скандалить в офисы, требуя объяснений, а самые настойчивые подавали иски в суд, надеясь вернуть хотя бы часть потерянных средств.

Расследование выявило целую сеть из двух десятков сайтов-клонов. Каждый работал по одной схеме: собрал заказы, получил переводы и исчез.

Расследование

По данным аналитиков F6, злоумышленники действовали серийно. Они копировали сайты известных производителей, создавали поддельные домены и почты, чтобы перехватывать обращения клиентов.

Некоторые ресурсы даже размещали отзывы и фотографии продукции, взятые с реальных страниц.

В течение суток после начала расследования основные домены были заблокированы. Всего за год специалисты выявили свыше тридцати сайтов-клонов, имитирующих бренды агрохолдингов и поставщиков удобрений.

Последствия

Компании стали публиковать списки своих официальных доменов и выпускать инструкции о том, как отличить оригинальный сайт от подделки. Они начали активно использовать систему DRP. Фермеры тоже стали осторожнее. Алексей теперь делает заказы только у проверенных партнёров:

«Онлайн — только посмотреть цены, а договариваться нужно с живыми людьми», — говорит он.

Комментарий эксперта

По данным F6 Digital Risk Protection, аграрный сектор входит в тройку отраслей, чаще всего подвергающихся атакам с использованием сайтов-клонов.

Сезонность, быстрые закупки и доверительные отношения создают идеальные условия для таких схем.

Поддельные домены и автоматизированные письма запускаются серийно, поэтому важно не только реагировать, но и заранее отслеживать, кто и где использует ваш бренд.

Вывод

История Левшина — не исключение, а симптом отрасли. Один сайт-клон, несколько писем и миллион рублей для одного фермера и миллиарды со всей индустрии уходит по цепочке фиктивных счетов.

Расследование помогло закрыть мошенническую сеть и вернуть компаниям контроль над своим цифровым контуром.

Чтобы не оказаться в подобной истории, проверьте, как выглядит ваш бренд глазами злоумышленников.

Попробуйте F6 Digital Risk Protection бесплатно на 14 дней.