Свое исследования я начал с проверки ИНН, поскольку мне стало интересно действительно ли он существует или это просто рандомный набор цифр. Оказалось, что ИНН из письма (782500228173) действительно существует и у предпринимателя с данным ИНН действительно есть налоговая задолженность. Узнать это можно разными способами, я лично использовал свой агрегатор BizFinds, который в т.ч. подтягивает информацию о задолженностях из ФНС. К слову, сейчас вносим окончательные правки и надеюсь в скором времени он станет доступен всем желающим. Но сегодня не об этом, вернемся к письму. Раз ИНН - реальный, задолженность - существует, возможно при отправке просто перепутали адресата.

Как видно из скриншота выше отправителем письма является некий адрес avtonalogi@avtonalogi.ru. Тут есть о чем рассказать, но давайте начнем с того, что я был не единственным получателем сомнительных писем. Если поискать упоминания данного домена @avtonalogi.ru, то окажется, что различные люди получают подобные письма как минимум с лета 2021 года (самый старый отзыв на одном из сайтов). Приложу несколько ссылок на отзывы для примера [1], [2], [3]. Большая часть людей, получивших подобные письма, сходилась в одном - их рассылают мошенники. В принципе, я сам так подумал: какой-то "левый" адрес пишет о том, что у меня налоги не оплачены, просит перейти по ссылке и оплатить - похоже на разводку.

Почитав отзывы и укоренившись во мнении, что письмо пришло предположительно от мошенников, решил преступить к поиску отправителя. Отправной точкой в этом деле являются данные из письма, а именно:

1. Служебные заголовки письма
2. Ссылка на оплату внутри письма
3. Адрес отправителя: avtonalogi@avtonalogi.ru

ВАЖНО! Если вдруг будете проводить подобное исследование на письмах, которые пришли вам - помните о мерах предосторожности!

Начнем по порядку.

Служебные заголовки письма - это метаданные, которые содержатся в каждом письме и не отображаются пользователю напрямую. По сути это технические данные, которые необходимы для маршрутизации и доставки письма адресату, поскольку оно, прежде чем дойти до адресата, может пройти несколько промежуточных точек. При анализе служебных заголовков письма от avtonalogi@avtonalogi.ru видно несколько интересных деталей.

• Во-первых, письмо пришло с IP-адреса 208.117.56.148 (США), по данным WhoIS этот адрес относится к сервису массовой рассылки SendGrid от компании Twilio. Хост geopod-ismtpd, который видно в MessageID также свидетельствует о том, что рассылка связанная с сервисом SendGrid, об этом есть упоминания. Ранее данный хост уже был замечен в рассылках, при том не самых безопасных, об этом писали, например, тут.
• Во-вторых, в поле from видно, что письмо пришло от @avtonalogi.ru, однако ниже есть пометка, что начальной точкой отправления является o1.email.shtrafy-gibdd.ru. Насколько я понял изучая данный вопрос, хост o1.email.shtrafy-gibdd.ru используется для формирования письма, далее это письмо по API или другим образом передается сервису SendGrid и уже после происходит рассылка.

Получается, письмо было отправлено через инфраструктуру иностранного сервиса - SendGrid. При этом, видно, что в рассылке также фигурирует домен shtrafy-gibdd.ru. Интересный момент, запомним его.

Переходим к ссылке внутри письма.

Если навести курсор на кнопку "Перейти к задолженности", то внизу экрана появится ссылка (красный прямоугольник), по которой надо перейти, чтобы совершить платеж. Сам по себе адрес выглядит странно, тем более для ссылки, по которой надо перейти, чтобы оплатить налоги. Проверка домена (url747.avtonalogi.ru) по базе VirusTotal показала, что он имеет пометку фишинговый.

Отправляем ссылку в urlscan. По итогу получаем следующую картину.

Ресурс urlscan дает очень много интересной и полезной информации, но нас пока интересует вкладка Redirects, в которой отображается цепочка всех перенаправлений, через которые мы проходим при переходе по ссылке. Интерпретировать данную цепочку перенаправлений можно следующим образом:

• При нажатии на кнопку "Перейти к задолженности" в письме, мы попадаем на специальный поддомен url747.avtonalogi.ru. Судя по всему он связан с промежуточным трекинг-сервером, который фиксирует факт перехода и кто, когда, с какого устройства перешел. Такой вывод можно сделать исходя из вида самой ссылки, показательно применение параметра click. Это предположение, но обычно это работает именно так.
• Далее с поддомена url747.avtonalogi.ru нас перебрасывает на основной домен https://avtonalogi.ru/app/inn/.... Об этом говорит код HTTP 302. Это код состояния HTTP, указывающий на то, что запрашиваемый ресурс временно перемещен по другому адресу.
• После того как нас перебрасывает на основной сайт https://avtonalogi.ru/app/inn/.... через HTTP 302 срабатывает еще одно перенаправление, но по коду HTTP 307. Это необходимо, чтобы убрать из ссылки параметры inn и email в явном виде, иначе их значения будут видны прям в строке браузера, а так остается идентификатор в Base64

Таким образом, получается, что переходя по ссылке из письма мы попадаем на основной домен https://avtonalogi.ru через цепочку перенаправлений. Этот же домен указан в поле "Отправитель" письма. Продолжая разбор данной цепочки перенаправлений рассмотрим к какому IP-адресу относится домен url747.avtonalogi.ru, чтобы установить, где он физически расположен. В этом нам поможет ресурс под названием Censys.

Данные технические детали понадобятся нам в дальнейшем. А сейчас давайте посмотрим на визуальную составляющую страницы. Нажав на кнопку "Перейти к задолженности" мы попадаем на страницу оплаты задолженности.

Тут лично у меня возник вопрос: "Что за лицензионное вознаграждение?" Чтобы ответить на данный вопрос, нам нужно проанализировать домен avtonalogi.ru, а также компанию, которая им владеет.

По данным WhoIS домен avtonaligi.ru принадлежит компании ООО «Узнать штрафы.ру» (ИНН 1655211935). Данная компания по сути является платежным агентом, который помогает людям оплатить налоговую задолженность. Картинка начинает складываться, но давайте по порядку.

Вернемся в 2010 год. Тогда цифровые сервисы в России были развиты гораздо хуже, чем сейчас: Госуслуги только зарождались и идея создать платежного агента между государством и гражданами с целью упростить проверку и оплату штрафов выглядела перспективной. За реализацию данного проекта взялся молодой технологический предприниматель (так написано на его сайте) Василь Закиев, сын известного в Татарстане предпринимателя, основателя МПО «Иншаат» Азата Закиева (по данным СМИ).

В 2010 году регистрируется домен shtrafy-gibdd.ru (где-то я его уже видел), к которому привязывается сайт "Мои Штрафы", через который пользователи могут оплатить штрафы от ГИБДД. Кто был владельцем домена изначально - не известно, но с 2011 года, когда была зарегистрирована компания ООО «Узнать штрафы.ру», домен стал принадлежать ей. Сейчас домен shtrafy-gibdd.ru привязан к хосту с IP 185.178.208.152 (Россия) Видимо бизнес-модель платежного агента оказалась настолько перспективной, что ООО «Узнать штрафы.ру» переключилась и на другие платежи. Всего за все время ООО «Узнать штрафы.ру» было зарегистрировано порядка 40 различных доменов, большая часть из которых связана с каким-либо формами посредничества и платежами, например autonalogi.ru (где-то я его уже видел), gosposhlina-gibdd.ru, kasko-online-osago.ru, online-polis-osago.ru, proverka-shtrafov.ru и т.д. К слову домен autonalogi.ru был зарегистрирован в 2015 году.

Сам Василь Закиев становится руководителем компании в 2015 году. Примечательно, что он является руководителем в статусе управляющего - индивидуального предпринимателя. Такая форма организации управления является механизмом налоговой оптимизации, когда компания, чтобы сократить собственные обязательные отчисления в социальные фонды (30% от заработной платы директора) не проводит трудоустройство директора через трудовой договор, а заключает с ним договор оказания услуг как с предпринимателем. Таким образом налог платит сам индивидуальный предприниматель. Данная ситуация выглядит весьма иронично, учитывая, что Василь Закиев, помогает людям оплачивать налоги штрафы. Ещё более иронично выглядит тот факт, что ООО "Узнать Штрафы.ру" на 11.05.2025 имеет порядка 400 тыс. руб. налоговых задолженностей.

Учредителями компании ООО "Узнать Штрафы.ру" являются Медикова Л.П., Кислухин Д.В., а также уже знакомый нам Закиев Василь. К слову Василь стал учредителем только в сентябре 2022 года. Этих людей можно назвать профессиональными стартаперами, хотя бы по количеству созданных и ликвидированных юридических лиц: Медикова Л.П. - 10 шт., Кислухин Д.В. - 14 шт., Закиев Василь - 25 шт.

Кстати, одной из ликвидированных компаний является ООО "ОСАГО КАСКО ОНЛАЙН", название которой сходится с доменом kasko-online-osago.ru и рядом других синонимичных доменов, которые были оформлены на ООО "Узнать Штрафы.ру". Данная ситуация очень похожа на дробление, но это уже не имеет значения. Компания была ликвидирована в 2021 году.

Также не будем сейчас вдаваться в детали относительно других ликвидированных компаний, работавших в сферах, связанных со строительной отраслью, хотя там тоже есть на что посмотреть учитывая, что близкие родственники Закиева владеют строительным бизнесом.

Вернемся к истории с письмом от сервиса "Мои налоги", которое поступило мне на почту. С 2010 года, когда цифровые сервисы в России были развиты гораздо хуже, чем сейчас прошло довольно много времени, появились Госуслуги, на сайтах ведомств появились онлайн-формы по оплате штрафов и налогов, довольно сильно прокачались мобильные приложения банков - оплатить налоги и штрафы стало проще, чем раньше. Дополнительные сервисы для этого стали не нужны. Объективно, данные факт оказал влияние на доходы от бизнеса, суть которого заключалась в посредничестве в оплате штрафов и налогов. И вот тут пришло время сложить все детали данного пазла воедино.

Примерно с 2021 года на электронные почты людям начинают приходить странные письма от сервиса, которым руководит Василь. В этих письмах их просят оплатить налоги или штрафы. Часто в этих письмах приводятся рандомные данные, которые ни как не связаны с людьми, которым они приходят. При этом сервис, которым руководит Василь берет лицензионное вознаграждение за оплату налогов и штрафов. Сам сервис "Мои штрафы" имеет дизайн с закосом под легитимный государственный сервис (название "Мои штрафы", флаг России на фоне). Не знаю как вы, но я вижу тут элементы фишинга.

По информации из "Энциклопедии Касперского", фишинг - это вид мошенничества, когда пользователя пытаются напугать, придумать критичную причину для того, чтобы он выдал свою личную информацию. Характерной особенностью фишинговых писем является очень высокое качество подделки. Адресат получает письмо с логотипами банка / сайта / провайдера, выглядящее в точности так же, как настоящее.

По моему мнению, данные особенности фишинговых писем Василь применяет для того, чтобы привлечь пользователей на свой сервис. Да, это не фишинг в чистом виде, скорее такой элемент маркетинга.

Не так важно свои долги оплачивают пользователи или чужие, компания ООО "Узнать Штрафы.ру" получает лицензионное вознаграждение, государство получает пополнение в бюджет - вроде все довольны. Кроме человека, который мог по ошибке закинуть платеж за недобросовестного предпринимателя, например. А если учесть, что некоторые пользователи писали, что данные и суммы вообще рандомные - ситуация выглядит ещё веселее.

Сам Василь на своем сайте пишет, что проводит обучение для руководителей по маркетингу, преподает в "Иннополисе". И тут время вспомнить ряд технических деталей, которые мы обсуждали ранее. Как вы помните, стартовой точкой в отправке письма был поддомен o1.email.shtrafy-gibdd.ru. Сам домен shtrafy-gibdd.ru - принадлежит компании ООО "Узнать Штрафы.ру" и привязан к хосту с IP 185.178.208.152 (Россия). При этом рассылка происходит через иностранный сервис SendGrid, который территориально находится в США. К слову o1.email.shtrafy-gibdd.ru также привязан к хосту с IP 208.117.56.148 (США)

Если я правильно понял суть маркетингового мува, то получается, что ООО "Узнать Штрафы.ру" в лице сервиса "Мои налоги" через поддомен o1.email.shtrafy-gibdd.ru передает персональные данные (в частности e-mail) для рассылки иностранному сервису SendGrid. Вы скажете, а как только e-mail может считаться персональными данными? Может, в случае, если он позволяет идентифицировать конкретного человека, например ivanov.i.i@domen.com. Вопрос знатокам, а считается ли это трансграничной передачей персональных данных?

Кстати, а компания Twilio (Вашингтон), которая владеет SendGrid является оператором по обработке персональных данных в России? Думаю, нет.

Так или иначе, мне кажется, что если данная схемка есть в каком-то образовательном курсе, то её не стоит реализовывать. Я понимаю, что все, кроме некролога - это реклама, да и в бизнесе редко, когда встает вопрос этичности, но игра на страхах + использование слов "Налоги" или "Штрафы" в сочетании с Российским флагом надо вообще запретить.