Найти в Дзене
Шурыгин.IT
158 подписчиков

🚨 «Я из налоговой

4
2 мин
У вас крупный вычет». Я не заблокировал. Я посмотрел, как вас будут ломать. Сценарий, который сейчас крутят по бизнесу. Пишут в мессенджер: «Инспектор из 22 налоговой. По вашему ООО пришёл документ. Сумма внушительная». Кидают файл: vasheooo_vychet.docx - на самом деле это не файл а завуалированная ссылка. На сайте нет документа. 👉 Есть просьба включить трансляцию экрана. Я спрашиваю: «Это обязательно?» Ответ: «Да, нажимаете разрешить» Дальше добавляют «доверия»: 👉 «Нужно пройти биометрию, чтобы открыть документ» 💀 Что это на самом деле Это не ФНС. Это не документ. Это интерактивная атака: не воруют пароль. не шлют вирус. 👉 вас заставляют показать экран и сделать всё самим 🧠 Разбор схемы по шагам 1. Легенда «Налоговая», «инспектор», «ООО» – максимальный уровень доверия. 2. Триггер «Сумма внушительная» → страх и срочность. 3. Техническая «проблема» «Файл не открывается» → ломают привычный сценарий. 4. Перевод на свою площадку Левый домен вместо nalog.ru. 5. Ключевой момент 👉

🚨 «Я из налоговой. У вас крупный вычет».

Я не заблокировал. Я посмотрел, как вас будут ломать.

Сценарий, который сейчас крутят по бизнесу. Пишут в мессенджер:

«Инспектор из 22 налоговой. По вашему ООО пришёл документ. Сумма внушительная».

Кидают файл:

vasheooo_vychet.docx - на самом деле это не файл а завуалированная ссылка.

На сайте нет документа.

👉 Есть просьба включить трансляцию экрана.

Я спрашиваю: «Это обязательно?»

Ответ: «Да, нажимаете разрешить»

Дальше добавляют «доверия»:

👉 «Нужно пройти биометрию, чтобы открыть документ»

💀 Что это на самом деле

Это не ФНС.

Это не документ.

Это интерактивная атака:

не воруют пароль. не шлют вирус.

👉 вас заставляют показать экран и сделать всё самим

🧠 Разбор схемы по шагам

1. Легенда

«Налоговая», «инспектор», «ООО» – максимальный уровень доверия.

2. Триггер

«Сумма внушительная» → страх и срочность.

3. Техническая «проблема»

«Файл не открывается» → ломают привычный сценарий.

4. Перевод на свою площадку

Левый домен вместо nalog.ru.

5. Ключевой момент

👉 «Разрешите трансляцию экрана»

Это уже не фишинг.

Это захват сессии через вас же.

6. Усиление через “биометрию”

Слово «биометрия» = мозг расслабляется.

На деле – просто ещё один триггер доверия.

🎯 Что происходит после «Разрешить»

Вы сами открываете:

-банк

-1С

-почту

-ЛК

Они:

- видят всё

- подсказывают, куда нажать

- ловят коды / пароли

- уводят доступы и деньги

👉 2FA тут не спасает. Вы сами его «показываете».

🔍 Техническая часть (коротко)

домен: fin-info.online (могут быть и другие)

IP: 193.233.75.139

локация: Франкфурт

На странице – WebRTC (браузерный доступ к экрану). Без установки софта. Выглядит «легитимно».

🛡 Что делать:

- Если вам пишут «из налоговой»: не ведёте диалог в мессенджере. Всё только через nalog.ru Проверяете номер требования.

Если прислали файл/ссылку:

- не открывать

- не переходить

- не вводить данные

- не разрешать трансляцию и ничего что просит браузер по ссылке

Если просят:

«включить экран», «помочь открыть», «пройти биометрию»

👉 это 100% атака

Для бизнеса (must-have):

- запрет screen sharing с внешними

- обучение бухгалтерии и финблока

правило: любые «налоговые» – только через официальные каналы

🧾 Что сделал я

- зафиксировал диалог

- проверил инфраструктуру

- отправил жалобу

- заблокировал контакт

👍 Мессенджер отработал нормально – быстрый репорт и блок.

Раньше воровали пароли.

Потом – коды.

👉 Сейчас воруют ваш экран и ваши действия. И делают это через доверие к «госам» и «биометрии».

Шурыгин.IT – разбираю реальные схемы, а не теорию.