Покупка ответов на ЕГЭ и ОГЭ может обернуться хищением персональных данных

Мошенники используют сезонную тему подготовки к основному и единому государственным экзаменам для кибермошенничества: под видом продажи ответов на ОГЭ и ЕГЭ на фишинговых сайтах собирают персональные данные. Аналитики Angara Security проанализировали подобные домены и потенциальные угрозы для пользователей.

В мае 2024 года, накануне экзаменов, выросло число мошеннических площадок с услугами по продаже вариантов ответов. По данным экспертов Angara Security, еще год назад за январь-май 2023 года было зарегистрировано 30 подобных доменов, а в конце мая текущего года аналитики зафиксировали уже 83 площадки с предложениями купить ответы на ОГЭ и ЕГЭ. Расценки варьируются в зависимости от типа экзамена и школьного предмета. Оплату предлагают провести с помощью банковской карты или криптовалюты. Потенциальный покупатель на таких площадках рискует не только получить некорректные ответы, но и стать жертвой взлома, передав мошенникам свои персональные данные.

"Получить фиктивные ответы или не получить ничего после оплаты — еще не самый большой риск, — предупреждают эксперты по кибербезопасности Angara Security. — Намного большую опасность представляет сбор персональных данных российских школьников и их родителей. Под видом ответов преступники могут прислать файлы с вредоносными вложениями, которые заразят устройство и дадут к нему доступ. Использование таких ресурсов — это также риск финансирования нежелательных организаций и шантажа в будущем".

Расследование Angara Security показало, что пятая часть доменов с предложениями купить ответы к госэкзаменам — это ресурсы с именем в формате "oge2024-[название предмета]-otveti. ru", "otveti-ege-[название предмета]2024.ru". Все они ведут на ресурс kimgen. com, зарегистрированный в США. Передача данных нового пользователя после регистрации и входа осуществляется в открытом виде через php-скрипт с последующей переадресацией на "a. nel. cloudflare. com". Эксперты подробно проанализировали структуру сайтов, предлагающих ответы к экзаменам, и отметили схожие особенности их архитектуры. Внешне сайт может быть оснащен инструкциями, онлайн-консультантом и даже "проверкой" e-mail-адресов, но ошибки в контенте и расширение ".html" в названиях страниц выдают разработку низкого качества.

Специалисты по кибербезопасности легко могут попасть в "закрытую" часть сайта после ввода любой почты или после ввода в поисковой строке полного пути до страницы. Злоумышленники используют множественные ресурсы для махинаций с ответами к экзаменам — об этом свидетельствует и передача оповещений о регистрации через сервис интеграции "webjack. ru". Часто сайт для большего эффекта подкрепляется профилями на YouTube и в Telegram-каналах: в Angara Security обнаружили ТГ-каналы, связанные с тем же упомянутым зарубежным ресурсом. Эксперты также рекомендуют обратить внимание на подозрительные отзывы о подобных сайтах. Пользователя должна насторожить одна и та же дата публикации основной массы отзывов, дублирование текста от одних и тех же "покупателей" и их скрытые аккаунты.