🚨 «Я из налоговой. У вас крупный вычет». Я не заблокировал. Я посмотрел, как вас будут ломать. Сценарий, который сейчас крутят по бизнесу. Пишут в мессенджер: «Инспектор из 22 налоговой. По вашему ООО пришёл документ. Сумма внушительная». Кидают файл: vasheooo_vychet.docx - на самом деле это не файл а завуалированная ссылка. На сайте нет документа. 👉 Есть просьба включить трансляцию экрана. Я спрашиваю: «Это обязательно?» Ответ: «Да, нажимаете разрешить» Дальше добавляют «доверия»: 👉 «Нужно пройти биометрию, чтобы открыть документ» 💀 Что это на самом деле Это не ФНС. Это не документ. Это интерактивная атака: не воруют пароль. не шлют вирус. 👉 вас заставляют показать экран и сделать всё самим 🧠 Разбор схемы по шагам 1. Легенда «Налоговая», «инспектор», «ООО» – максимальный уровень доверия. 2. Триггер «Сумма внушительная» → страх и срочность. 3. Техническая «проблема» «Файл не открывается» → ломают привычный сценарий. 4. Перевод на свою площадку Левый домен вместо nalog.ru. 5. Ключевой момент 👉 «Разрешите трансляцию экрана» Это уже не фишинг. Это захват сессии через вас же. 6. Усиление через “биометрию” Слово «биометрия» = мозг расслабляется. На деле – просто ещё один триггер доверия. 🎯 Что происходит после «Разрешить» Вы сами открываете: -банк -1С -почту -ЛК Они: - видят всё - подсказывают, куда нажать - ловят коды / пароли - уводят доступы и деньги 👉 2FA тут не спасает. Вы сами его «показываете». 🔍 Техническая часть (коротко) домен: fin-info.online (могут быть и другие) IP: 193.233.75.139 локация: Франкфурт На странице – WebRTC (браузерный доступ к экрану). Без установки софта. Выглядит «легитимно». 🛡 Что делать: - Если вам пишут «из налоговой»: не ведёте диалог в мессенджере. Всё только через nalog.ru Проверяете номер требования. Если прислали файл/ссылку: - не открывать - не переходить - не вводить данные - не разрешать трансляцию и ничего что просит браузер по ссылке Если просят: «включить экран», «помочь открыть», «пройти биометрию» 👉 это 100% атака Для бизнеса (must-have): - запрет screen sharing с внешними - обучение бухгалтерии и финблока правило: любые «налоговые» – только через официальные каналы 🧾 Что сделал я - зафиксировал диалог - проверил инфраструктуру - отправил жалобу - заблокировал контакт 👍 Мессенджер отработал нормально – быстрый репорт и блок. Раньше воровали пароли. Потом – коды. 👉 Сейчас воруют ваш экран и ваши действия. И делают это через доверие к «госам» и «биометрии». Шурыгин.IT – разбираю реальные схемы, а не теорию.