Мошенничество под видом ЖКХ: активизация злоумышленников в конце года

Как отметили в банке, сфера жилищно-коммунальных услуг — одна из самых уязвимых для фишинга и социальной инженерии. Во-первых, жители привыкли регулярно получать уведомления, поэтому подобные сообщения не настораживают. Во-вторых, многие воспринимают ЖКХ как сферу, работающую по правилам, и быстро реагируют на уведомления, чем и пользуются мошенники. В-третьих, в сфере ЖКХ появились личные кабинеты, мобильные приложения и электронные квитанции — пользователи привыкли к переходам по ссылкам и загрузке приложений, и мошенникам проще имитировать сервисы.

Одна из наиболее опасных схем — рассылка электронных писем с адресов, похожих на адреса управляющих компаний или расчетных центров. В письме говорится о необходимости установить «новое приложение для оплаты ЖКХ», «обновить личный кабинет» или «установить приложение для учета отопления». Но внутри — файл, который запускает вредоносное ПО.

Еще одна схема — рассылка СМС, писем и сообщений о начислениях за коммунальные услуги. Внутри — ссылка или QR-код, которые ведут на фишинговый сайт, где пользователь вводит данные банковской карты и таким образом передает доступ к своим средствам. Мошенники также создают фальшивые аккаунты в мессенджерах: пользователю приходит сообщение об обновлении системы безопасности или необходимости авторизоваться в новом сервисе. Ссылка ведет на поддельного бота, где просят указать номер телефона и ввести код из СМС — якобы для подтверждения личности.

Первый тревожный сигнал — это ссылка. Любые странные комбинации букв или адреса сайтов, отличающиеся от привычных одним символом, требуют особой осторожности. Второй показатель — ультимативность текста. Сообщения о срочной необходимости оплатить долг «во избежание пени» или «до отключения услуги» давят на человека. Следующий признак — нехарактерное поведение отправителя: стоит насторожиться, если председатель ТСЖ внезапно пишет с нового номера. Наконец, любое приложение «по ссылке» или в формате APK может содержать вредоносный код.

Эксперты Сбера напомнили, что главный маркер фишинга — просьба продиктовать код из СМС или PUSH-уведомления. Ни одна организация, работающая в сфере ЖКХ, не запрашивает коды из СМС для подтверждения заявок, сверки показаний или доступа в личный кабинет. Любые действия в сфере ЖКХ нужно совершать только через официальные сайты и приложения и не переходить по ссылкам из писем и мессенджеров.