Отзывы о фишинговых сайтах, незаконно использующих название компании «Газпром инвест»

Фишинговые клоны «Газпром инвест» появляются сотнями. Криминальные рекламщики (черные арбитражники) с их помощью выманивают персональные данные и перепродают их финансовым мошенникам. Затем жертв разводят на пополнения депозитов через счета и карты физических лиц.

История обмана «Газпром разрешил торговать газом»

Больше года назад, практически одновременно с началом эпидемии COVID-19 в России и Украине начала распространяться мошенническая реклама, паразитирующая на авторитете энергетической компании ПАО «Газпром».

Беспринципные черные маркетологи клонируют один и тот же шаблон, с редкими исключениями. Как правило, используются названия «Газпром Инвест», «ГазПромИнвестинг», «Газпром инвестхолдинг», «ГазРуси». От страничке к страничке кочует рекламный ролик, цитата, приписываемая председателю Правления, отфотошопленная лицензия профессионального участника рынка ценных бумаг.

ПАО «Газпром» и финансовые рынки

Разумеется, транснациональная компания «Газпром» и ее дочерние предприятия тесно взаимодействуют с финансовыми рынками. АО «Газпромбанк» имеет лицензию кредитного учреждения, АО «Газпром энергоремонт», ООО «Газпром капитал», ЗАО «Газпром зарубежнефтегаз» осуществляли выпуск ценных бумаг. 

А ООО «ГПБ Инвестиции» является легальным профессиональным участником с лицензиями брокера, дилера, депозитария, инвестиционного советника и доверительного управляющего.

Строительная компания «Газпром инвест» (invest.gazprom.ru)

Реальная ООО «Газпром инвест Запад» основана в 2007 году, в 2013 переименована в «Газпром инвест». Занимается строительством скважин и газопроводов, в частности, известный «Северный поток — 2» тоже строил «Газпром инвест».

Отличить легальную компанию очень просто. Официальный сайт «Газпром инвест» расположен на субдомене головной организации invest.gazprom.ru. Яндекс маркирует этот адрес в выдаче знаком «известный бренд» (красная стрелка на скриншоте). А зеленой рамкой обведен фишинговый сайт.

Как ПАО «Газпром» борется с мошенниками?

Сайт головной организации gazprom.ru поддерживает раздел «Противодействие мошенничеству». На него ссылается сайт «Газпром инвест», а дочерние «Газпром нефть» (gazprom-neft.ru) и «Газпром нефть Казахстан» (azs.gazprom-neft.kz) ведут собственные разделы. В них публикуются пополняемые списки выявленных мошеннических страниц. На сегодня  насчитывается около 470 названий. 

Характерные черты клонов «Газпром инвест»

Заголовок «Газпром разрешил торговать газом» мы уже упоминали. Страницу с такой «шапкой» надо сразу же закрывать. 

Зарегистрированные а 2021 году домены

Роскомнадзор по представлению Генпрокуратуры и Банка России регулярно блокирует мошеннические ресурсы. Поэтому срок жизни фишинговых страничек не превышает 2-3 месяцев. 

• Домен gazprom-invest.pro зарегистрирован 2 июня 2021 года;
• gaz-vest.org — 15 августа 2021 года;
• valuat.ru.com — 30 августа;
• greatwebgroup.ru.com — 8 сентября;
• siteonlinetrade.ru.com — 8 сентября;
• overwroughts.com — 9 сентября;
• gazpropzpokupkaktsiy.ru — 4 октября.

Cloudflare, Inc. и другие «пуленепробиваемые» хостинги

Киберпреступники, в том числе организаторы фишинга, арендуют хостинг у провайдеров, помогающих им скрывать реальные контактные данные и IP-адреса (bulletprofit hosting, «пуленепробиваемые»).

• gazprom-invest.pro — Cloudflare, Inc., IP 185.233.152.56;
• overwroughts.com — Cloudflare, Inc., IP 104.21.38.208 и 172.67.138.147;
• valuat.ru.com — Cloudflare, Inc., IP 104.21.83.64 и 172.67.215.84;
• greatwebgroup.ru.com — Cloudflare, Inc., IP 104.21.21.102 и 172.67.197.240;
• siteonlinetrade.ru.com — Cloudflare, Inc., IP 104.21.41.93 и 172.67.146.101.
• gaz-vest.org — HZ Hosting Ltd, IP 185.123.53.200;
• gazpropzpokupkaktsiy.ru — ООО «Бегет», IP 45.130.41.15.

В частности, десятки лендингов сгенерированы с использованием PhaaS — площадкок e-platform2020.casa и triumphway.casa (Phishing-as-a-Service, фишинг как услуга). Эти криминальные сервисы  размещены у провайдера связи NeuStar, Inc. (home.neustar). 

Фишинговые страницы на e-platform2020.casa

С e-platform2020.casa как субдомены связаны семь фишинговых страниц:

• x.e-platform2020.casa;
• p.e-platform2020.casa;
• tr.e-platform2020.casa;
• gaz-platform.e-platform2020.casa;
• b.e-platform2020.casa;
• c.e-platform2020.casa;
• e-platform2020.casa.

И еще 21 по 184 SSL-сертификатам, выписанным на площадку через бесплатного регистратора Let’s Encrypt.

• 0.2020funds.site;
• 2021.bankers-life.xyz;
• 2021.online-invest2021.xyz;
• 7.webrich2020.xyz;
• abbreviations.fin-control.cyou;
• abogu.gettrademarkt.casa;
• accountants.platformsapp.bar;
• active.online-stock2021.club;
• ad.my-fin2020.monster;
• aktev.goodstock.work;
• ar-guardian-angel.fundsvolume.online;
• aul4.systemcash2020.cyou;
• bankbreaker.clicktocash2021.monster;
• bankbreaker.investingspace.shop;
• bankbreaker.onlinefinance2021.club;
• bbbb.truestock.work;
• chain.newplatform2020.website;
• chain-system.2020-way.surf;
• gaz-active.usestockmarket.work;
• gaz-platform.decide2020.monster;
• gaz-platform.e-platform2020.casa.

Фишинговые страницы на triumphway.casa

На triumphway.casa размещены как субдомены:

• tq.triumphway.casa;
• chain-system.triumphway.casa;
• td.triumphway.casa;
• kl.triumphway.casa;
• p.triumphway.casa;
• dw.triumphway.casa.

И через SSL-сертификаты с ней связаны:

• ask.getyourincom.club;
• auction.platformshb.bar;
• audio.investly.bar;
• aw.resultinvest.club;
• bat3.yourincomepp.cyou;
• biz.usetrades.bar;
• bri2.onlinefunds.club;
• bussiness.openstockinvest.cyou;
• coi3.yourincomelbs.cyou;
• dance.trytrads.bar;
• ds.getyourincom.club;
• edu.meetwebmarket.bar;
• edu.platformslbs.bar;
• eo.investng.shop;
• fgoogle.getinvst.cyou;
• gaz-active.getstockmarkt.cyou;
• gaz-active.getyourincom.club;
• gaz-active.investinglbs.club;
• gaz-active.investingpp.club;
• gaz-active.investng.shop;
• gaz-active.meetinvestng.club;
• gaz-active.moneybecame.xyz;
• gaz-active.onlinefunds.cyou;
• gaz-active.openinvestng.club;
• gaz-active.openstockinvest.cyou;
• gaz-active.theinvestng.club;
• gaz-active.tradecapital2021.work;
• gaz-active.tryinvestng.club;
• gaz-active.yourincome.shop;
• gaz-active.yourincomepp.cyou;
• gazedu.meetwebmarket.bar;
• gazzplumbing.openwebmarket.cyou;
• gg.tryinvest.bar;
• go.useinvst.cyou;
• gzedu.meetwebmarket.bar;
• hpo2.getstockmarkt.cyou;
• hup2.stockinvsthq.one;
• ictv.tryyourincom.club;
• kl.resultinvest.club;
• l.openyourincom.club;
• mm.trymoney.bar;
• naic.tryyourincom.club;
• nama.thewebmarket.cyou;
• oht.tryinvest.bar;
• ong.trymoney.bar;
• opa1.yourincome.shop;
• organic.platformspp.bar;
• pa.pro-funds.icu;
• photography.webmarkethub.cyou;
• physio.theinvest.bar;
• pics.meettrads.bar;
• post.webmarkt.cyou;
• qwe.trymoney.bar;
• rar.trymoney.bar;
• red.invstly.bar;
• red.meettrad.bar;
• red.trytrad.bar;
• rent.webmarkthq.cyou;
• review.platformapp.bar;
• sneir.useyourincom.club;
• tnk3.stockinvestlbs.one;
• tq.triumphway.casa;
• tsd.newbiz2021.shop;
• vbnk2.thetrademarkt.club;
• vsegda-plus.new-program.website;
• vt1b.investng.xyz;
• yuanpaygroup.stockinvesthq.one.

Плюс шесть фишинговых платформ в зоне CASA

Анализ адресов мошеннических сайтов, опубликованных на сайте ПАО «Газпром», позволил выявить еще 6 площадок для создания фишинговых страниц. Все они размещены на NeuStar, Inc.

• profitway2021.casa;
• online-investing2021.casa;
• profitprogress.casa;
• true-invest2021.casa;
• web-profit.casa;
• newincome.casa.

Контакты жертв попадают к другим аферистам

После регистрации персональные данные перепродаются в колл-центры, и затем жертвам перезванивают из «компаний» с другими названиями. Обращавшиеся в нашу редакцию пострадавшие называли:

• DealHoo;
• Finstone FX;
• Leveltrade.

Фальшивая лицензия с реквизитами бывшего Форекс-дилера

Выше мы упоминали фальшивые лицензии на фишинговых страницах, имитирующих «Газпром инвест». Например, на gazprom-invest.pro и overwroughts.com, Разберем одну из них.

Лицензия № 045-13980-020000 — использовалась «Телетрейд Групп», аннулирована Центробанком в декабре 2018 года.

«На осуществление деятельности форекс-дилера» — в России на 14.10.2021 три лицензированных Форекс-дилера: «Финам форекс», «Альфа-Форекс», ВТБ Форекс.

ОГРН 1107746816540 и ИНН 7709863070 присвоены «Телетрейд Групп».

Картинка лицензии была взята с сайта teletrade.ru, из раздела «раскрытие информации». В ней отредактировали дату выдачи и название компании.

Безусловно интересно, каким образом ООО «Телетрейд Групп» может одновременно, на одном и том же сайте, предлагать услуги Форекс-дилера, и сообщать об отзыве лицензии. Но это предмет для отдельного исследования.

Например, полицейского, за номером 11801007754000223, в рамках которого соединены 15 уголовных дел против так называемой «Teletrade D.J. International Consalting Ltd» (по материалам решения Московского городского суда от 28 июня 2021 года).

Клоны «Газпром инвест»: адреса и контакты, указанные на фишинговых сайтах

Как правило, в шаблонах встречаются два адреса:

• gazprom-invest.pro — г. Москва, переулок Новопесковский Малый, дом 8;
• gaz-vest.org — Москва, улица Тимура Фрунзе, д. 11, БЦ «Демидов»;
• valuat.ru.com — Москва, улица Тимура Фрунзе, д. 11, БЦ «Демидов»;
• greatwebgroup.ru.com — Москва, улица Тимура Фрунзе, д. 11, БЦ «Демидов»;
• siteonlinetrade.ru.com — Москва, улица Тимура Фрунзе, д. 11, БЦ «Демидов»;
• overwroughts.com — Москва, улица Тимура Фрунзе, д. 11, БЦ «Демидов».

Адрес Малый Новопесковский переулок, дом 8 украден у ООО «Газпром инвестхолдинг», ОГРН 1025000651675.

Второй адрес  взят с потолка. Дочерних компаний ПАО «Газпром» на улице Тимура Фрунзе, д. 11 вообще нет. Зато по этому адресу зарегистрировано ООО «Регус» (ныне IP II GmbH, regus.ru), предлагающая виртуальные офисы. Дальше, в общем-то, понятно. Мошенникам даже не обязательно покупать адрес, достаточно прошерстить бесплатные бизнес-справочники.

В форме регистрации для примера указано номер +79123456789. Тут случай похожий: номер настолько растиражирован, что используется даже авторами Дзен, при написании любительских обзоров.

Фишинговые страницы «Газпром инвест», анализ аудитории

Заметная аудитория у фишинговых страниц появляется примерно через месяц после запуска, когда жертвы начинают искать отзывы. К примеру, домен gazprom-invest.pro зарегистрирован 2 июня 2021 года, а запросы начинаются в 20-х числах июля.

Gaz-vest.org появился в августе, а отзывы в начале сентября.

Та же закономерность наблюдается и для ранее созданных площадок. Например, crypto-gazprom.com зарегистрирован в первых числах февраля 2021 года, и пользовался популярностью до середины марта.

Мишенью мошеннической рекламы является преимущественно российская аудитория.

Есть ли пользовательские соглашения на фишинговых сайтах, использующих название «Газпром инвест»?

Большинство фишинговых клонов вообще не размещают нормативные документы. Однако изредка на них встречаются политики конфиденциальности, объемом меньше половины страницы А4.

Однако и в этот смехотворный документ криминальные рекламщики умудрились втиснуть пункт о передаче персональных данных клиентов коллекторским агентствам.

Кто пишет положительные отзывы о фишинговых клонах «Газпром инвест», где правда?

Заказные отзывы, поддерживающие фальшивки, отличаются бесцеремонностью обмана. К примеру некто «666» пишет, что на сайте опубликованы регистрационные документы, и у компании есть регулятор. Это он про отфотошопленную лицензию с реквизитами «Телетрэйд».

А какие еще у рерайтеров варианты, когда странички ни о чем? Либо врать напропалую, либо лить водичку, как «Rus 1995».

Схема развода и разоблачение клонов «Газпром инвест». Как выстроен обман?

По отзывам пострадавших известен номер телефона +79310099526, а также псевдонимы:

• «Виктор Радов»;
• «Александр Карпов»;
• «Владислав Орлов».

Помимо перечисленных выше DealHoo, Finstone FX и Leveltrade, черные рекламщики сбывали персональные данные жертв псевдоброкерам WaxxCapital и TRS Markets,

К примеру, Зита зарегистрировалась на клоне «Газпром инвест», после чего попала в обработку к аферистам WaxxCapital. Которые выманили у нее депозитов на 1000 долларов.

А Полину после регистрации на фишинговом «Газпром инвест» начали осаждать аферисты из TRS Markets.

Реальные отзывы бывших клиентов о фишинговых сайтах «Газпром инвест». Истории обмана по обращениям в редакцию НЭС

Как будет показано дальше, мошенники не всегда раскрывают название своего проекта. К примеру, Петра держали в убеждении, что он торгует с «Газпром инвест». И напротив, Игорю практически сразу сообщили, что он будет сотрудничать с «брокером» QuNea. Имена пострадавших изменены с целью сохранения конфиденциальности.

Петр, сумма потери 800000 рублей

Увидев фейковую рекламу «Газпром инвест» с государственной атрибутикой, Петр проникся доверием. Его чувства умело поддерживали сотрудники колл-центра «Александр Вешняков» и «Сергей Белов». Манипуляторы связывались с пострадавшим с телефонных номеров:

• +78126086476, 
• +78126048444;
• +447763824005;
• +447440965788;
• +447440965783.

Большую часть депозитов Петр вносил наличными через отделение банка, физическим лицам, реквизиты которых ему прислали «аналитики».

Испытывая постоянные трудности с самостоятельным пополнением баланса, пострадавший решил отказаться от сотрудничества и вывести средства. 

Когда Петр заявил об этом, с ним связалась от имени финансового контроля «Александра». Она потребовала внести существенную сумму за оформление документов. После этого пострадавший решил, что его обманывают мошенники, и обратился за помощью по возврату средств

Игорь, сумма потери 2000 долларов

В июне 2021 года Игорь искал работу, и его внимание привлекла реклама, связанная с названием «Газпром». После того, как пострадавший оставил свои контактные данные, ему перезвонила «Морган Алия Эдваровна» от лица компании QuNea (qunea.com), и уговорила внести первый депозит в размере 500 долларов.

Затем с Игорем связался «Михаил», который демонстрировал ему по Skype, как совершать операции в личном кабинете. Все действия с интерфейсом пострадавший совершал только под контролем «аналитика».

Манипулируя показателями графиков, «Михаил» убедил пострадавшего в росте доходов, и убедил добавить еще 1500 долларов для увеличения прибыли. Через некоторое время Игорь сделал запрос на вывод, но заявка была отклонена. «Михаил» объяснил, что сначала надо оплатить страховку в размере 10000 рублей.

Пострадавший оплатил страховку, но QuNea так и не вывела ему средства. Тогда Игорь понял, что связался с мошенниками, решил прекратить с ними сотрудничество и вернуть перечисленные средства.

Пополнение счетов  без вывода средств у мошенников, прикрывающихся названием «Газпром инвест»

Из всего сказанного выше очевидно, что организаторов, так называемых черных арбитражников трафика, абсолютно не интересует, смогут ли жертвы их рекламы что-то заработать, или потеряют свои средства безвозвратно. Они используют название «Газпром инвест» как вывеску, чтобы получать персональные данные граждан, которые и перепродают криминальным группировкам.

Вариант возврата средств следует выбирать в зависимости от практикуемой злоумышленниками схемы приема платежей. К примеру, если псевдоброкеры получают платежи с банковских карт на расчетный счет в банке, их можно вернуть с помощью процедуры чарджбэк.

Откуда ждать помощи если все потерял, или как вернуть деньги с платформ, заманивающих через фишинговый «Газпром инвест», по процедуре Чарджбэк?

Платежи держателей банковских карт, проведенные через системы VISA, Mastercard, МИР, защищены правилами этих корпораций. Если получатель средств обманул покупателя, не поставил товар или услугу в соответствии с условиями договора, плательщик имеет право заявить о несогласии с платежами. 

Банки, которые проводят платежи через информационную сеть платежной системы, пользуются ей как участники, по договору присоединения. В этом качестве они обязаны соблюдать правила платежных систем. Например, принимать претензии от держателей карт, расследовать споры, а также возвращать платежи, если нарушение условий договора действительно имело место.

Допустим, сервис QuNea по клиентскому соглашению обязался вывести средства по заявке клиента, но не выполняет обещание. По регламентам чарджбэк, это оказание услуги, не соответствующей описанию. Если же псевдоброкер блокировал доступ трейдеру в личный кабинет, тем самым он отказался предоставить клиенту оплаченную услугу. Оба нарушения дают держателю карты законные основания запросить возврат средств по процедуре чарджбэк.

Прежде, чем оспаривать платежи, держателю карты следует подготовить доказательства для претензионного отдела банка:

• Договор (оферта) с сайта. Если ее нет — копии рекламных предложений;
• Платежные документы: банковская выписка, справки по операциям, журнал пополнения в личном кабинете псевдоброкера;
• Свидетельства нарушения договорных обязательств: скриншоты отклоненных запросов на вывод из личного кабинета, либо страницы авторизации с сообщением об отказе в доступе;
• Копия официальной претензии, как подтверждение попыток покупателя урегулировать спор путем переговоров с продавцом;
• Копии ответов администрации псевдоброкера, через чат на сайте, мессенджеры, электронную почту;
• Уведомление о расторжении договора, подтверждающее нежелание покупателя сотрудничать в дальнейшем с нечестным контрагентом.

После того, как доказательства собраны, пострадавший оформляет заявление о спорной операции, вносит в него цифры и факты, прикладывает документы, и передает в банк, выпустивший его карту. Эмитент примет заявление, изучит обстоятельства в течение 1,5 месяцев. Когда специалисты претензионного отдела убедятся в правоте держателя карты, они передадут запрос на чарджбэк в банк, принявший платежи (эквайер) .

Далее это кредитное учреждение проведет свое расследование в срок до 1 месяца. Потребует от своего клиента документы, подтверждающие исполнение договора. Убедившись, что предоставленные эмитентом факты доказывают правоту держателя карты, эквайер спишет средства со счета продавца и вернет их в банк-эмитент. Который и зачислит их на карту пострадавшего.

Как вернуть средства через суд?

Как рассказано выше в истории Петра, многие криминальные группы не пользуются банковским счетом, а принимают платежи через физических лиц. На банковские счета, платежные карты, используют также электронные и криптовалютные кошельки.

По российскому законодательству этих посредников можно обязать вернуть средства плательщику. Поскольку между ними не совершались сделки, не заключались договора, и никаких предусмотренных законом прав у получателей на эти средства нет.

А в подобных случаях статьи 1102 и 1107 Гражданского Кодекса требуют от получателя вернуть полученное имущество как неосновательное обогащение, и уплатить проценты за все время незаконного пользования чужими средствами.

Исковое заявление в суд следует дополнить доказательствами: договором с банком, банковской выпиской, справкой по операциям, расчетом процентов. К этим документам прилагается квитанция об уплате государственной пошлины, а также заявление об обеспечении иска. На основании этого документа суд вынесет определение, и банк заблокирует счет ответчика.

Как самостоятельно проверить фейковый клон «Газпром инвест» на признаки мошенничества?

Любую площадку, владелец которой выдает себя за профессионального участника финансового рынка, можно легко проверить поиском по сайту Банка России. Если адрес не упоминался в публикациях регулятора, то сайт мошеннический.

Узнать об особенностях чарджбэка от злонамеренного продавца, причинах, по которым банки отклоняют оспаривания, и реальных ограничениях процедуры, вы можете в статьях:

• Чарджбэк при мошенничестве;
• Как банки относятся к чарджбэк;
• Когда чарджбэк невозможен?

С уважением, НЭС - Чарджбэк Блог