Внутри сети из более чем 20 000 поддельных магазинов

Мы выявили разветвленную сеть поддельных интернет-магазинов, включающую более 20 000 доменов, десятки общих IP-адресов и идентичные витрины с разными названиями, наклеенными поверх. Они существуют с одной целью: похитить ваши платежные реквизиты и личные данные. Объединяет их все название вкладки браузера, над которым большинство людей даже не задумывается:«Непревзойденный выбор только для вас».

Блестящие витрины, пустые склады

Поддельные интернет-магазины — это мошеннические сайты, созданные так, чтобы выглядеть и работать как настоящие интернет-магазины. На них есть каталоги товаров, логотипы брендов, отзывы покупателей, корзины покупок и страницы оформления заказа, выглядящие вполне функциональными. Однако они никогда не выполняют своих обещаний. В некоторых случаях жертвы не получают ничего вообще. В других — получают дешевую подделку, стоимость которой составляет лишь небольшую часть заявленной цены.

В любом случае, в качестве товара продаются ваши данные: эти поддельные магазины собирают ваши платежные реквизиты, адреса для выставления счетов и личные данные, а затем перепродают их на криминальных торговых площадках или используют их напрямую для мошенничества с личными данными.

Масштабы этой проблемы резко возросли. Согласно последним данным аналитики по угрозам, в первом квартале 2025 года количество мошеннических схем с поддельными интернет-магазинами выросло на 790 % по сравнению с аналогичным периодом предыдущего года, что отчасти объясняется экономической неопределённостью, связанной с торговыми пошлинами, которая подталкивает потребителей к поиску более выгодных альтернатив.

Только за праздничный сезон 2024 года исследователи выявили более 80 000 поддельных интернет-магазинов, многие из которых исчезли или сменили название в течение нескольких дней. Данные отраслевой аналитики, собранные в конце 2025 года, показали, что на долю поддельных интернет-магазинов приходилось 65 % всех угроз, заблокированных в социальных сетях, причем основными платформами YouTube запуска YouTube Facebook YouTube .

Эти операции становятся всё более организованными. Недавно исследователи выявили FraudWear — скоординированную кампанию, в которой участвовали более 30 000 мошеннических интернет-магазинов, выдававших себя за более чем 350 модных брендов по всему миру.

В ходе другого расследования была выявлена сеть BogusBazaar, построенная по принципу франшизы, в которой основная команда обеспечивала работу серверов, обработку платежей и инфраструктуру шаблонов, а децентрализованные операторы создавали на этой основе отдельные интернет-магазины. С 2021 года эта сеть обработала более миллиона заказов на 75 000 доменов.

Поддельные интернет-магазины добиваются успеха, потому что используют привычные модели поведения покупателей: переход по рекламным объявлениям, просмотр результатов поиска и посещение сайтов с привлекательным дизайном. К этому они добавляют психологическое давление, предлагая ограниченные по времени акции, используя таймеры обратного отсчета и предупреждения об исчезающих запасах товара.

Тот же магазин, разные названия

В ходе расследования подозрительных доменов электронной коммерции мы выявили группу из более чем 20 000 сайтов, имеющих общие особенности инфраструктуры.

Чаще всего использовался домен верхнего уровня (TLD) .shop, который стал излюбленным средством мошенников благодаря низкой стоимости регистрации и правдоподобному названию. Согласно данным Cloudflare по безопасности электронной почты, домен .shop в настоящее время входит в число ведущих доменов верхнего уровня, связанных со спамом и вредоносной деятельностью.

Анализ исходного кода страниц показал, что объединяет эти сайты. Все они работают на WordPress и используют Sellvia — легальную платформу электронной коммерции, базирующуюся в США, которая позволяет пользователям быстро запускать магазины с прямой поставкой, используя готовые шаблоны, каталоги товаров и системы обработки платежей.

На веб-сайтах используются готовые шаблоны Sellvia, а изображения товаров берутся из её сети. Шесть «различных» шаблонов, которые мы обнаружили, на самом деле представляют собой всего две базовые темы с косметическими изменениями. Ниже приведены несколько примеров, представленных парами, чтобы продемонстрировать, как один и тот же шаблон выглядит под совершенно разными брендами.

20 000 доменов, 36 IP-адресов

Несмотря на внешнее сходство, эти поддельные сайты используют одну и ту же базовую инфраструктуру. Все более 20 000 доменов привязаны к набору из всего лишь 36 IP-адресов.

Такая степень концентрации не характерна для легальных интернет-магазинов. Это характерная черта крупномасштабных мошеннических операций, в которых одна группа управляет серверами и шаблонами, а отдельные операторы создают на их основе новые домены.

Большая часть этой активности сосредоточена в небольшом числе диапазонов IP-адресов, в том числе в блоках из диапазонов 207.244.x.x и 23.105.x.x. Такая концентрация указывает на предпочтение определённых хостинг-провайдеров и на конфигурацию, ориентированную на скорость: зарегистрировать домен, привязать шаблон, запустить сайт.

Это повторяет модель франчайзинга, характерную для других сетей поддельных интернет-магазинов. Основная группа занимается управлением серверами, шаблонами и настройкой платежей, а операторы регистрируют домены и запускают интернет-магазины на этой основе. Когда один сайт попадает в черный список или закрывается, на его место приходит другой.

Однако такая же кластеризация является и слабым местом. Достаточно вывести из строя небольшое количество серверов, чтобы отключить тысячи сайтов.

Как защититься от поддельных магазинов

Эти поддельные магазины не являются самостоятельными предприятиями. Они являются частью крупных, тиражируемых схем, призванных выглядеть убедительно, действовать быстро и исчезать с той же скоростью.

Если сайт выглядит подозрительно, создает ощущение спешки или кажется слишком хорошим, чтобы быть правдой, относитесь к нему с осторожностью. Несколько лишних секунд на проверку могут уберечь вас от того, чтобы отдать свои деньги и личные данные киберпреступникам.

• Используйте средства защиты браузера. Такие инструменты, как Malwarebytes Browser Guard могут заблокировать известные мошеннические сайты еще до того, как вы дойдете до оформления заказа.
• Внимательно проверьте домен. Будьте осторожны с незнакомыми расширениями, такими как .shop, .top, .store и .xyz, особенно если они сочетаются с общими названиями, напоминающими названия брендов. Если вы никогда не слышали о данном продавце, это уже первый сигнал тревоги.
• Скептически относитесь к значительным скидкам. Если товар везде распродан, но на каком-то неизвестном сайте продается со значительной скидкой, это ловушка.
• Обращайте внимание на сайты, скопированные «копи-пастом». Если несколько сайтов имеют одинаковую верстку, изображения товаров и баннеры, но разные названия, скорее всего, они используют один и тот же шаблон. Настоящие магазины так не работают.
• Ищите независимые отзывы. Введите название магазина в поисковике вместе с такими словами, как «отзыв» или «мошенничество». Если в результатах поиска будет только сам сайт, это о многом говорит.
• Не игнорируйте свою интуицию. Если что-то вызывает у вас подозрения, остановитесь. Не вводите свои платежные данные просто для того, чтобы «посмотреть, что будет».
• Используйте более безопасные способы оплаты. Кредитные карты обеспечивают лучшую защиту, чем дебетовые. Виртуальные карты или платежные сервисы могут создать дополнительный уровень защиты между вашими данными и продавцом.

Совет от профессионала: Malwarebytes блокирует эти домены как мошеннические.

Индикаторы компромисса (ИКС)

IP-адреса

• 108.59.1.151
• 108,59,12,118
• 108,59,14,13
• 108,59,8,97
• 108.62.0.220
• 108.62.116.82
• 108.62.117.45
• 162.210.195.105
• 162.210.195.113
• 162.210.198.37
• 162.210.199.12
• 162.210.199.183
• 162.210.199.235
• 192.96.200.81
• 198.7.58.168
• 198.7.58.87
• 199.115.115.2
• 207.244.102.13
• 207.244.109.109
• 207.244.126.106
• 207.244.126.19
• 207.244.126.21
• 207.244.67.158
• 207.244.69.201
• 207.244.71.143
• 207.244.89.198
• 207.244.91.203
• 23,105,160,43
• 23.105.172.14
• 23.105.8.15
• 23.105.8.17
• 23.105.8.19
• 23.82.11.26
• 23,82,13,161
• 23,82,13,34
• 5,79,69,45

---

Мы не просто сообщаем о мошенничестве - мы помогаем его обнаружить.

Риски кибербезопасности не должны выходить за рамки заголовков новостей. Если что-то кажется вам подозрительным, проверьте, не является ли это мошенничеством, с помощью Malwarebytes Guard. Отправьте скриншот, вставьте подозрительный контент или поделитесь ссылкой, текстом или номером телефона, и мы сообщим вам, является ли это мошенничеством или законным. Доступно с Malwarebytes Premium для всех ваших устройств, а также в Malwarebytes для iOS Android.