Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru
Новости

Мошенничество с возвратом НДС | Блог Касперского

Как не попасться на уловки мошенников, которые обещают оформить возврат НДС физическим лицам.

Одна из самых популярных схем у мошенников — получить небольшую комиссию за обещание больших денег, а при случае вообще оставить жертву с пустыми карманами. Схема не теряет своей популярности — меняется только повод, по которому жертве обещают «выигрыш», «компенсацию», «приз» или еще какую-нибудь выплату. Сегодня мы расскажем про одну из свежих вариаций этой схемы, построенную на несуществующих «возвратах НДС».

Как работает схема с ложным возвратом НДС

Потенциальные жертвы получают письмо от сервиса Google Docs со ссылкой на размещенный там документ. Оно проходит спам-фильтр, который блокирует подозрительные рассылки, потому что письма от Google считаются безопасными, а содержание документа по ссылке — где и начинается самое интересное — почтовый фильтр проверить не в состоянии.

Преступники маскируют уведомление Google Docs под письмо от официальной организации

Преступники маскируют уведомление Google Docs под письмо от официальной организации

И в теме письма, и в самом сообщении без привычной для спама истеричной эмоциональности, довольно сухо говорится, что получателю положена компенсация средств. За дополнительной информацией ему предлагают пройти по указанной ссылке в хранилище Google.

Казалось бы, зачем государственной организации хранить документ в облачном аккаунте частного, к тому же зарубежного, сервиса? Логичнее было бы выложить его на официальном сайте, разослать через Госуслуги или бумажным письмом. Но мошенники рассчитывают, что обещания выплат понизят бдительность жертв, и те не задумаются о несостыковках.

Единый Компенсационный Центр Возврата Невыплаченных Денежных Средств — что это такое?

Если жертва перейдет по ссылке, то увидит красиво оформленное извещение, которое смутно напоминает платежку от государственной организации. Здесь и герб, и QR-код, и длинные цепочки цифр, похожие на реквизиты. В самом верху документа указано, что выплатами занимается некий «Единый Компенсационный Центр Возврата Невыплаченных Денежных Средств», а в нижней части уточняется, что сотни и десятки тысяч рублей полагаются на основании «возврата Н.Д.С.».

Мошенническое сообщение оформлено под платежку государственной организации. Обратите внимание на сумму

Мошенническое сообщение оформлено под платежку государственной организации. Обратите внимание на сумму

Разумеется, обычный поиск в Интернете помог бы быстро выяснить, что никакого «Единого Компенсационного Центра» на самом деле не существует. Но неопытный пользователь может и не проверить: большая зеленая кнопка «Получить выплату» всем своим видом приглашает ее нажать. Поддавшись искушению, жертва попадет на сайт того самого вымышленного «ЕКЦ ВНДС».

Кому положен возврат налогов

Мошенники рассчитывают на тех, кто смутно слышал о каком-то возврате НДС, но точно не знает, что это такое, а главное, кому он полагается. Запутаться тут немудрено, с налогами связано сразу несколько выплат:

  • Собственно возврат НДС. Он действительно существует — но только для юридических лиц и только в определенных обстоятельствах.
  • Физическим лицам, то есть обычным людям, в России положен налоговый вычет, но связан он с другим налогом, НДФЛ (налог на доходы физических лиц). Если вы покупаете недвижимость, инвестируете на фондовом рынке, оплачиваете обучение или лечение для себя или близких родственников, вам могут вернуть часть уплаченного вами налога на доходы.
  • Единственный вариант, когда физическое лицо может получить обратно НДС — в рамках процедуры Tax Free: перед возвращением домой из некоторых стран туристам могут вернуть часть налогов, которые входили в цену местных товаров. Но это работает только для иностранных граждан: россиянам за покупки внутри России вернуть НДС никак не получится.

Как обманывают на сайте «ЕКЦ ВНДС»

Теперь, когда мы разобрались, что обещанная сайтом выплата ненастоящая, вернемся к мошеннический схеме.

На сайте «Единого Компенсационного Центра Возврата Невыплаченных Денежных Средств» сразу настораживают несколько вещей. Во-первых, непонятный адрес в доменной зоне *.xyz, одной из наиболее дешевых, а часто и вовсе бесплатной, — главный признак, что сайту доверять нельзя. И уж точно в этом домене не стоит рассчитывать увидеть официальные организации — они размещаются в доменах .gov.ru, просто .ru или .com (если речь про коммерческие фирмы).

Непонятный адрес — явный признак опасной интернет-страницы

Непонятный адрес — явный признак опасной интернет-страницы

Во-вторых — точки в аббревиатуре «НДС». Госучреждения в России действуют в соответствии со стандартом ГОСТ по информации, который обязывает записывать акронимы (то есть сокращения из начальных букв) прописными буквами без точек. Как правило, ему следуют довольно жестко и опечаток не допускают.

Наконец, в подвале страницы и вовсе анекдот: мошенники ссылаются на «постановление в поддержку импортозамещения» (еще одно слово из новостей, которое должно показаться жертве знакомым), по которому гражданам якобы полагается компенсация затрат на покупку товаров иностранного производства. Где же здесь импортозамещение?

Центральную часть экрана занимает строка ввода. Жертву просят указать в ней шесть цифр банковской карты, которой она чаще всего пользуется (формулировка и здесь настораживает), после чего сайт имитирует поиск по базам ВНДС. Как и в случае с «ЕКЦ ВНДС», эти базы существуют только в фантазии мошенников.

Злоумышленники старательно имитируют поиск по несуществующим базам данных

Злоумышленники старательно имитируют поиск по несуществующим базам данных

Логично задаться вопросом: зачем вычислять сумму, если уже на первом шаге она была крупно указана в заполненной платежке? Очевидно, чтобы отвлечь жертв от ненужных мыслей: чуть ниже блока «поиска» им показывают комментарии «счастливчиков», которые уже якобы получили деньги. Разумеется, «поиск» завершается успешно — жертве вновь обещают сотни тысяч рублей.

Найденная сумма отличается от той, что мы видели в самом начале, на 70 копеек

Найденная сумма отличается от той, что мы видели в самом начале, на 70 копеек

Дальше жертве предлагают «связаться с юристом для получения выплаты». Для этого по центру экрана есть кнопка. По ее нажатию открывается окно чата, где некий «специалист» задает, казалось бы, логичные технические вопросы (например, впервые ли посетитель на сайте). Здесь снова можно заметить несоответствие, и снова довольно мелкое — в должности юриста указан какой-то «комитет выплат», который раньше нигде не упоминался.

Заскриптованный чат оформлен довольно правдоподобно

Заскриптованный чат оформлен довольно правдоподобно

Тут стоит отметить, что мошенники достаточно качественно срежиссировали «разговор с юристом». На другом конце чата, конечно же, нет никакого человека, но реплики прописаны убедительно — бот неплохо имитирует беседу. Интересно, что хотя при запуске чата шапка сайта размывается, комментарии счастливчиков, якобы уже получивших выплату, остаются четкими.

В финале разговора бот просит заполнить некую анкету. Анкета не длинная, чтобы не отпугнуть чересчур сложными формальностями. Ну а чтобы дополнительно подогреть алчность жертвы, в анкете тоже фигурирует якобы положенная к выплате сумма.

Мошенники постоянно напоминают жертве обещанную сумму компенсации

Мошенники постоянно напоминают жертве обещанную сумму компенсации

Данные анкеты — это первый улов злоумышленников. ФИО, дата рождения и номер карты — ценная информация. К примеру, ее могут использовать для создания вашего цифрового двойника, составления баз личных данных или более убедительных фишинговых звонков от «специалистов банков».

Даже такой набор персональных данных уже будет ценной добычей

Даже такой набор персональных данных уже будет ценной добычей

Сохранив анкету, жертва возвращается в окно чата, где ей предлагают завершить оформление. Для этого нужно оплатить «юридические услуги по регистрации». Как подчеркивает «юрист», только это отделяет пользователя от желанной суммы — заплати комиссию 372 рубля, и сотни тысяч сразу поступят на карту.

Финальный аккорд — просьба оплатить комиссию

Финальный аккорд — просьба оплатить комиссию

По ссылке открывается окно для ввода данных банковской карты с непонятным адресом, который не совпадает с указанным названием платежной системы. Хотя на странице несколько раз говорится про «безопасную оплату», верить таким заявлениям не стоит. Мы уже встречали «платежную систему» Paycards в нескольких других мошеннических схемах — в частности, в схеме с компенсацией за утечку данных от американского «Фонда защиты персональных данных», не более реального, чем ЕКЦ ВНДС.

Перед оплатой стоит проверить легитимность самой платежной системы

Перед оплатой стоит проверить легитимность самой платежной системы

Очевидно, что после «оплаты услуг юриста» богатств на счету ждать не приходится. Есть основания полагать, что Paycards заодно служит формой сбора данных банковских карт, которые оттуда попадают прямо в руки злоумышленников. Так что потерей указанных на странице оплаты 372 рублей дело может не ограничиться.

Что делать, если вам пришло письмо о получении выплаты

В первую очередь поищите информацию о том, что такая выплата действительно существует. У пособий и компенсаций всегда есть свои названия, но часто они очень похожи. Киберпреступники пользуются этим, придумывая свои сочетания слов, которые у всех на слуху, или присваивают настоящие. Так, когда в 2021 году стало известно про выплаты семьям со школьниками, в Сети начались атаки с подобной легендой. То же самое происходило и с пособиями, которые раздавали в 2020 году.

Если выплата с таким названием фигурирует в новостях и на официальных сайтах, найдите сайт ответственного учреждения и выясните, подходите ли вы под категории получателей выплаты и как за ней обратиться. Если поиск выдает только похожие названия, лучше не ввязываться: наверняка письмо пришло от мошенников.

  • И в любом случае:
    остерегайтесь уведомлений о документах в облачном хранилище, размещенных незнакомыми вам людьми;
  • обращайте внимание на адреса сайтов, точные суммы, названия организаций и другие детали: любое несоответствие подозрительно;
  • используйте надежный антивирус с защитой от онлайн-мошенничества и фишинга, который вовремя предупредит об опасности и автоматически заблокирует поддельные страницы.

Источник: Лаборатория Касперского

13.08.2021