Почему бизнесу важно следить за онлайн-двойниками

Подделка бренда, веб-сайта и рассылок компании стала распространенной техникой злоумышленников, продолжающей набирать популярность. Всемирная организация интеллектуальной собственности (WIPO) отмечает значительный рост подобных инцидентов в 2025 году. Хотя чаще всего жертвами имперсонации становятся технологические компании и потребительские бренды, в целом этой угрозе подвержены все индустрии и во всех странах — отличается только способ, которым самозванцы эксплуатируют подделку. На практике встречаются следующие сценарии атаки:

• клиентов и покупателей бренда заманивают на поддельный сайт и выманивают реквизиты доступа в настоящий онлайн-магазин фирмы либо платежные данные для прямой кражи средств;
• сотрудников и партнеров компании заманивают на фальшивую страницу входа в корпоративные порталы, чтобы получить легитимные учетные данные для проникновения в сеть организации;
• клиентов и покупателей побуждают связаться с мошенниками под разными предлогами: получение техподдержки, возврат ошибочного платежа, участие в опросе с призами, получение компенсации за те или иные публично известные события, связанные с брендом. Далее у жертвы пытаются украсть побольше денег;
• партнеров и сотрудников компании заманивают на специально созданные страницы, имитирующие внутренние системы фирмы, чтобы получить одобрение платежа или перенаправить легитимный платеж мошенникам;
• клиентам, партнерам и сотрудникам предлагают скачать на фальшивом сайте компании вредоносное ПО, чаще всего инфостилер, замаскированный под корпоративные приложения.

За словами «заманивают» и «предлагают» скрывается широкий спектр тактик: почтовые рассылки, сообщения в мессенджерах и посты в соцсетях, напоминающие официальную рекламу, сайты-двойники, продвигаемые в поисковых системах инструментами SEO и даже платной рекламой.

Объединяют эти схемы два момента. Во-первых, злоумышленники пользуются брендом организации и стараются подделаться под официальные сайт, доменное имя, фирменный стиль рассылок, рекламы, постов в соцсетях. Подделка не обязательно безупречна, но достаточно убедительна для части клиентов и партнеров. Во-вторых, хотя организация и ее онлайн-ресурсы не являются непосредственными жертвами атаки, негативные последствия для них все равно значительны.

Ущерб бизнесу от подделки бренда

Если подделки изготовлены в расчете на сотрудников, атака может обернуться прямым финансовым ущербом. Либо сотрудника-жертву убедят перевести деньги компании, либо его учетными данными воспользуются, чтобы похитить конфиденциальную информацию или провести атаку шифровальщиком.

Атаки на клиентов обычно не подразумевают прямого ущерба компании, но наносят существенный вред косвенно в следующих аспектах.

• Нагрузка на клиентскую поддержку. Клиенты, «купившие» товар на поддельном сайте, скорее всего, будут обращаться со своими проблемами к настоящей службе поддержки. Убедить их, что они не делали заказ, сложно, поэтому каждый такой случай отнимает много времени и сил, причем сразу у нескольких специалистов.
• Репутационный ущерб. Обманутые клиенты считают, что в их проблемах виноват бренд, который не смог защитить их от подделки, и часто ожидают от него компенсации. По данным европейского опроса, около половины покупателей будут ожидать компенсаций, а также могут перестать пользоваться услугами компании и описать свой негативный опыт в социальных сетях. Особенно неприятно, если среди жертв окажется известная личность или просто кто-то с большим количеством подписчиков.
• Непредвиденные затраты на реагирование. В зависимости от специфики и масштаба атаки, могут потребоваться криминалистическая экспертиза IT-активов (DFIR) и привлечение консультантов из области потребительского права, интеллектуальной собственности, кибербезопасности и антикризисного пиара.
• Повышения страховых премий. Компании, страхующие бизнес от киберинцидентов, в том числе учитывают последствия подделки брендов и могут отразить возросший риск в повышении премии.
• Ухудшение показателей сайта и удорожание рекламы. Если злоумышленники размещают платную рекламу с именем вашего бренда, они отбирают у официального сайта часть пользователей, а если вы рекламируете сайт за деньги, то цена рекламы растет из-за конкуренции. Особенно остро эта проблема стоит для IT-компаний, продающих онлайн-сервисы, но актуальна и для розничных брендов.
• Снижение долгосрочных показателей — объема продаж, доли рынка, капитализации публичной компании. Все это является следствием недоверия к организации со стороны клиентов и партнеров после крупных инцидентов.

Покрывает ли страховка ущерб бизнесу?

Популярные страховки от киберрисков, как правило, покрывают только затраты, напрямую связанные с инцидентами, явно описанными в полисе. Это потери данных, нарушение непрерывности бизнеса, компрометация IT-систем и тому подобное. Создание фальшивых доменов и веб-страниц не наносит прямой ущерб IT-системам бизнеса, поэтому стандартной страховкой обычно не покрывается. Репутационные потери и сам факт подделок являются отдельным страховым риском, требующим расширенного покрытия конкретно на этот случай.

Из перечисленных нами косвенных потерь покрытие стандартной страховкой может компенсировать расходы на DFIR и в ряде случаев на клиентскую поддержку (если ситуация признана страховым случаем). Добровольные компенсации клиентам, снижение продаж и ущерб репутации покрыты точно не будут.

Что делать, если компанию атаковали клоны

Если вы узнали, что кто-то пользуется именем вашего бренда для мошеннических действий, имеет смысл:

• разослать клиентам понятные уведомления, объясняющие, что произошло, какие меры приняты и как проверить подлинность официальных сайтов, рассылок и прочих коммуникаций;
• создать короткую страницу со списком официальных доменов, аккаунтов в соцсетях, ссылок в магазинах приложений и адресов службы поддержки; разместить ее в доступном месте и регулярно обновлять;
• отслеживать новые регистрации страниц в соцсетях и доменов, в названии которых содержатся брендовые термины, чтобы выявить клонов до начала атаки;
• использовать процедуру блокировки, которая включает сбор доказательств, подачу жалоб регистраторам, хостинг-провайдерам, администраторам соцсетей, а также отслеживание статуса до полного закрытия. Чтобы полностью и корректно документировать нарушения, нужно сохранять URL, скриншоты, метаданные, дату и время обнаружения. В идеале также нужно изучить исходные коды страниц-фальшивок, поскольку в них могут быть указания на другие компоненты преступной операции;
• добавить на сайт и (или) в фирменное приложение простую форму для сообщений клиентов о подозрительных сайтах или сообщениях, чтобы узнавать о проблемах на раннем этапе;
• координировать действия между юридическим отделом, службой безопасности и маркетинговой командой для обеспечения последовательных, согласованных и эффективных мер реагирования.

Как защититься от атак, связанных с подделкой бренда

Хотя открытая природа Интернета и специфика атаки делают невозможным предотвращение таких атак, бизнес может оперативно узнавать о новых подделках и иметь наготове инструменты для борьбы с ними.

• Нужно постоянно отслеживать подозрительную публичную активность через специализированные сервисы мониторинга. Наиболее явный индикатор — регистрация доменов, похожих на название бренда, но есть и другие, например покупка кем-то в дарквебе баз данных, связанных с брендом организации. Комплексный мониторинг всех площадок лучше заказывать у специализированного поставщика таких услуг, например Kaspersky Digital Footprint Intelligence (DFI).
• Наиболее быстрый и простой способ отключить фальшивку в вебе или в соцсетях — подать жалобу на нелегальное использование товарного знака. Нужно заранее убедиться, что портфель зарегистрированных товарных знаков достаточен для подачи жалоб по процедуре UDRP.
• При обнаружении фальшивок оперативно задействуйте процедуру UDRP для передачи или удаления поддельных доменов, а в соцсетях следуйте процедуре, описанной администрацией соцсети (легко найти в поиске по запросу ИМЯ_СОЦСЕТИ trademark infringement, например для LinkedIn). Передача домена законному владельцу предпочтительна, поскольку, в отличие от процедуры удаления, его не смогут перерегистрировать мошенники. Многие сервисы, обеспечивающие постоянный мониторинг, такие как Kaspersky Digital Footprint Intelligence также предлагают оперативное реагирование и подают жалобы от имени защищаемого бренда (takedown service).
• Оперативно блокируйте поддельные домены в корпоративных системах. Это не защитит клиентов и партнеров, но затруднит те атаки, которые нацелены на сотрудников.
• Обдумайте возможность зарегистрировать во всех важных доменных зонах (.com, .ru, .рф и др.) сайт компании и вариации названия компании (с дефисами и без и тому подобное), чтобы защитить клиентов и партнеров от типовых опечаток и просто фальшивок.