Знакомой в «Вотсапе» написал «помощник торговой площадки Wildberries» и предложил большую скидку на следующий заказ.

Якобы так компания извиняется за недавний сбой: из-за некорректной работы серверов они не смогли доставить товары многим покупателям. Правдоподобности добавляло то, что сообщение пришло от бизнес-аккаунта, а не от рядового пользователя.

Чтобы получить скидку, собеседник предложил отправить ему артикул или ссылку на любой товар на «Вайлдберриз», кроме техники «Эпл». Знакомая заподозрила неладное и решила проверить собеседника: скормила ему ссылку на кольцо за 25 тысяч рублей. Хитрость была в том, что его нельзя просто взять и заказать: сначала нужно выбрать размер. Кроме того, кольцо уже продавали с огромной скидкой — более 60%. Маловероятно, что к ней добавят еще и скидку на 50%.

Собеседника ничто не смутило. Он не уточнил размер кольца и сразу же предложил оформить доставку или самовывоз. Знакомая выбрала самовывоз, а вместо адреса пункта выдачи написала случайный. Но и это не остановило мошенника.

После этого он прислал ссылку для оплаты заказа. Знакомая не стала переходить по ссылке: сразу поняла, что та ведет на поддельный сайт, где деньги украдут. Расскажу, как она это распознала, и научу вас этому приему.

Сообщение поступило от бизнес-аккаунта. На первый взгляд кажется, что пишет действительно представитель «Вайлдберриз»
Сообщение поступило от бизнес-аккаунта. На первый взгляд кажется, что пишет действительно представитель «Вайлдберриз»
Собеседник не уточнил детали заказа, и его не смутило, что по указанному адресу нет пункта выдачи
Собеседник не уточнил детали заказа, и его не смутило, что по указанному адресу нет пункта выдачи
Вот ради чего все затевалось: мошенник отправил ссылку на поддельный сайт. Там деньги и украдут
Вот ради чего все затевалось: мошенник отправил ссылку на поддельный сайт. Там деньги и украдут

Как сразу понять, что ссылка ведет на поддельный сайт

Посмотрите на ссылку. Если между названием бренда и доменом верхнего уровня есть какие-то символы, кроме точки, — перед вами подделка. Сайт wildberries.ru — настоящий, сайт wildberries.id8987.ru — подделка.

Доменом верхнего уровня называют символы в конце адреса сайта, обычно они кодируют страну, к которой приписан сайт. Например, в России это.ru,.рф и.su, который раньше принадлежал СССР. А домены.com и.net — международные.

Точки разделяют уровни доменов, отсчет идет справа налево. При вычислении поделки посмотрите на домен второго уровня — там должно быть название бренда. Если оно левее, например на месте домена третьего уровня, перед вами подделка. Источник: msainfo.ru
Точки разделяют уровни доменов, отсчет идет справа налево. При вычислении поделки посмотрите на домен второго уровня — там должно быть название бренда. Если оно левее, например на месте домена третьего уровня, перед вами подделка. Источник: msainfo.ru

Слева от домена верхнего уровня через точку пишут символы, которые указывают на конкретный сайт. Чаще всего это название бренда: wildberries, ozon, tinkoff. Слева от названия через точки можно добавить и другие слова или наборы символов. Компании используют эту возможность, чтобы делать отдельные сайты для своих сервисов. Например, поисковик «Яндекса» находится по адресу yandex.ru, сервис «Карты» — по адресу maps.yandex.ru, а сервис доставки еды — по адресу eda.yandex.ru.

Все эти части адреса специалисты называют доменами разных уровней: первого, второго, третьего и так далее. Посмотрите в адресную строку: у Тинькофф Журнала ru — это домен верхнего, первого уровня, tinkoff — второго, а journal — третьего. Чем левее в адресе сайта домен, тем больше у него порядковый номер и тем он ниже в иерархии.

Чтобы создать домен более низкого уровня, нужно получить разрешение от владельца домена более высокого уровня. Российские домены первого уровня администрирует АНО «Координационный центр доменов.RU/.РФ». Координационный центр разрешает создавать домены второго уровня через специальные компании-регистраторы, например «Ру-центр» и «Рег-ру». Регистраторы следят, чтобы имена доменов не повторялись, поэтому создать еще один сайт с адресом wildberries.ru у мошенников не получится.

Чтобы обойти это ограничение, мошенники регистрируют домены из случайного набора символов, например id8987.ru. Владея доменом второго уровня, они могут создать любой домен третьего уровня, например wildberries.id8987.ru или ozon.id8987.ru.

Часто мошенники вместо случайных символов маскируют ссылки под названия услуг: avito.super-dostavka.ru. Но суть не изменится: это все равно будет другой сайт, не avito.ru, а заходить на него будет опасно.

Главный признак мошеннического сайта — неправильный домен второго уровня

Настоящий сайт Подделка
wildberries.ru wildberries.id8987.ru
ozon.ru ozon.delivery.ru
magnit.ru magnit.recruiting.ru
eda.yandex.ru yandex.eda.ru
journal.tinkoff.ru journal.tinkoff.user12345.ru
Настоящий сайт
Подделка
wildberries.ru
wildberries.id8987.ru
ozon.ru
ozon.delivery.ru
magnit.ru
magnit.recruiting.ru
eda.yandex.ru
yandex.eda.ru
journal.tinkoff.ru
journal.tinkoff.user12345.ru

На что еще обращать внимание

Странные символы в адресе сайта. Не игнорируйте непонятные символы в адресной строке: скорее всего, это не пыль на мониторе, а попытка вас обмануть.

Иногда, чтобы замаскировать сайт под настоящий, мошенники вместо латинских букв используют похожие буквы национальных алфавитов: например, меняют e на ė, s на ş, i на ï. В итоге вместо wildberries получается wïldbėrrieş. Расчет на то, что вы не станете вглядываться и перейдете по ссылке.

А порой мошенники даже не заморачиваются с символами из других алфавитов: просто меняют буквы в адресе сайта местами или регистрируют похожие адреса.

Ошибки в адресе сайта — тоже попытка обмануть

Настоящий сайт Подделка
tinkoff.ru tInkoff.ru
avito.ru avito-dostavka-msk.ru 
yandex.ru yanndex.ru
cian.ru zian.ru
Настоящий сайт
Подделка
tinkoff.ru
tInkoff.ru
avito.ru
avito-dostavka-msk.ru 
yandex.ru
yanndex.ru
cian.ru
zian.ru
Латинские буквы i и l легко спутать. Этим обожают пользоваться мошенники
Латинские буквы i и l легко спутать. Этим обожают пользоваться мошенники

Даже если знакомый человек прислал вам ссылку, внимательно прочитайте адрес сайта, прежде чем вводить там какие-либо данные. Быть может, вашего знакомого взломали, а ссылка ведет на поддельный сайт.

Некоторые браузеры могут определять такую подставу и предупреждать пользователей. Например, это умеет «Яндекс-браузер», именно поэтому мошенник просил мою знакомую не открывать ссылку через него, сославшись на некие санкции против компании.

Если открыть ссылку на поддельный сайт в «Яндекс-браузере», он предупредит о мошенничестве. Поэтому мошенники придумывают всяческие отговорки: якобы на «Яндекс» наложили санкции или у них какой-то сбой
Если открыть ссылку на поддельный сайт в «Яндекс-браузере», он предупредит о мошенничестве. Поэтому мошенники придумывают всяческие отговорки: якобы на «Яндекс» наложили санкции или у них какой-то сбой

Предупреждения от «Телеграма». В мессенджере «Телеграм» можно поместить ссылку «внутрь» любого слова или предложения. Получается, можно выделить wildberries.ru, нажать «добавить ссылку» и указать поддельный сайт.

Если «Телеграм» заметит, что текст не соответствует ссылке, он выдаст предупреждение. Многие не обращают на него внимания и нажимают «Перейти». Не рекомендую так делать: лучше приглядитесь, не пытаются ли вас обмануть, подменив часть символов.

В «Телеграме» можно выделить любой текст и превратить его в ссылку. Этим могут воспользоваться мошенники: написать текстом один адрес, а «внутрь» поместить другой
В «Телеграме» можно выделить любой текст и превратить его в ссылку. Этим могут воспользоваться мошенники: написать текстом один адрес, а «внутрь» поместить другой
Если «Телеграм» показал вам такое окно, не спешите нажимать «Перейти», лучше перепроверьте адрес: его могли подменить
Если «Телеграм» показал вам такое окно, не спешите нажимать «Перейти», лучше перепроверьте адрес: его могли подменить

Сообщения в официальных источниках. Обычно люди попадают на мошеннические сайты по ссылкам из рекламы в интернете или из мессенджеров. Но достаточно зайти на официальный сайт по прямой ссылке из поисковика — и магия пропадает: оказывается, никаких волшебных скидок, вакансий или раздач денег не существует.

На месте «Вайлдберриз» в этой схеме мог оказаться любой другой популярный интернет-магазин. Мошенники любят маскироваться под известные бренды: например, предлагают получить деньги от «Газпрома» или хорошую зарплату за элементарную работу в «Магните».

Подписываюсь под советом этих площадок: совершайте покупки только на официальном сайте или в официальном приложении. О том, как отличить официальное приложение от поддельного, мы рассказали в отдельной статье.

«Вайлдберриз» предупреждает о схеме из этой статьи в своем телеграм-канале
«Вайлдберриз» предупреждает о схеме из этой статьи в своем телеграм-канале
«Озон» тоже рекомендует обращать внимание на домен второго уровня
«Озон» тоже рекомендует обращать внимание на домен второго уровня
«Вайлдберриз» предупреждает о схеме из этой статьи в своем телеграм-канале
«Вайлдберриз» предупреждает о схеме из этой статьи в своем телеграм-канале
«Озон» тоже рекомендует обращать внимание на домен второго уровня
«Озон» тоже рекомендует обращать внимание на домен второго уровня

Как понять, что скидку предлагает мошенник

  1. Не доверяйте «менеджерам» и «сотрудникам службы поддержки», которые пишут вам в мессенджерах и предлагают выгодные скидки: это мошенники.
  2. Покупайте товары только на официальном сайте или в официальном приложении маркетплейса.
  3. Если вам прислали ссылку на сайт, обратите внимание на домен второго уровня. Сайт wildberries.ru — настоящий, а wildberries.delivery.ru — поддельный.
  4. Если вам показалось, что со ссылкой что-то не так, возможно, так оно и есть: мошенники часто меняют i на l или используют символы из других алфавитов, чтобы сделать поддельные ссылки похожими на настоящие.
  5. Проверяйте информацию о скидках и акциях в официальных соцсетях и на сайте по прямой ссылке из поисковика. Скорее всего, там же вы найдете информацию об актуальных схемах мошенников.