Билет в никуда: Group-IB зафиксировала рост мошеннических ресурсов по продаже железнодорожных и авиабилетов
Накануне майских праздников от мошенников нет покоя ни на земле, ни в воздухе. Ну, и в Интернете само-собой. После того, как Владимир Путин в конце апреля объявил выходными дни с 1 по 10 мая CERT-GIB (Центр реагирования на инциденты кибербезопасности Group-IB) зафиксировал всплеск мошенничества в интернете, связанного с продажей авиа и железнодорожных билетов. "Перед праздниками злоумышленники увеличивают свою активность, встраиваясь в новостную повестку и активно используют социальную инженерию для привлечения потенциальных жертв", — говорит Ярослав Каргалев, заместитель руководителя CERT-GIB. Эксперты призывают пользователей быть внимательнее при покупке билетов онлайн — полезные рекомендации в конце статьи.
Призрачный поезд
Накануне майских праздников мошенники создали сеть фальшивых страниц по лже-продаже электронных билетов на поезд „Сапсан", нацеленных на кражу денег и платежных данных пользователей.
По данным CERT-GIB (Центр реагирования на инциденты кибербезопасности Group-IB), единичные мошеннические ресурсы по продаже билетов на "Сапсан" встречались и раньше: суммарно в 2020 году таких ресурсов было обнаружено 21. С начала 2021 года за январь и февраль — 2 и 3 соответственно. Мошенники активизировались в апреле, перед майскими праздниками. К середине месяца количество уникальных фишинговых доменов составляло уже 13. Часть ресурсов еще функционирует, Group-IB совместно с ОАО “РЖД" проводят мероприятия по их блокировке.
В схеме использован классический сценарий: при поиске в популярных поисковиках доступных билетов на «Сапсан» пользователи, привлеченные рекламой, попадают на сайт мошенников. Все они были созданы с помощью IFrame — легитимного компонента HTML, который позволяет встраивать на свой веб-ресурс контент стороннего сайта. Желая приобрести билет онлайн, жертва вводит данные банковской карты, в результате теряя и деньги, и данные «пластика». Отличие схемы в том, что фальшивые ресурсы открывались, в основном, на мобильных устройствах — как на операционных системах iOS, так и Android, однако, встречались и те, что «работали» в браузерах персональных компьютеров.
Использование в мошеннической схеме доступа с мобильного устройства позволяет усыпить внимание потенциального покупателя билетов, так как у него меньше шансов увидеть подмену домена. В то же время большинство антифишинговых систем защиты бессильны против блокировки всей схемы, поскольку сама ссылка в рекламном объявлении и адрес фишингового домена никак не связаны с используемым в атаке брендом. Таким образом, даже, если ресурс, на котором располагался конечный фишинг, блокируется, мошенники просто начинают перенаправлять на другой действующий домен, даже не отключая рекламу.
С билетом можно пролететь
Довольно часто вредоносные ресурсы копируют сайты популярных агрегаторов авиабилетов или представляют собой полностью самостоятельные страницы для подбора перелетов. В апреле Group-IB выявила 50 фишинговых сайтов по продаже авиабилетов по низким ценам. Для сравнения, за весь 2020 год было зафиксировано 56 таких ресурсов, в январе 2021-го — 9, в феврале — 5, в марте — ни одного. Пик мошенничеств пришелся на последнюю неделю апреля. Вредоносные ресурсы зачастую находились на первой позиции в поисковой выдаче в Яндексе/Google по запросу "купить авиабилеты", "дешевые билеты"...
"Когда посетитель фейкового сайта вводит данные карты, в том числе CVV-код, для оплаты авиабилетов, деньги уходят на счета злоумышленника, а билетов никто не получает", — пояснил Ярослав Каргалев. Он добавил, что к преступникам также попадают данные банковской карты, которые они могут использовать для покупок в Интернете. Особенность апрельских атак в том, что целевая аудитория для мошенников — пользователи смартфонов, в большинстве случаев фишинговые сайты открываются только с мобильных платформ.
Как не стать жертвой?
Group-IB рекомендует не переходить по ссылкам, присланным в подозрительных сообщениях электронной почты, соцсетях и мессенджерах, особенно если в них эксплуатируются темы подарков, льгот, выигрышей, снижения цен и др.
Не стоит загружать вложенные файлы из сообщений, которые не запрашивались пользователем. Необходимо внимательно изучить адрес сайта (доменное имя), на который произошла переадресация. В большинстве случаев оно отличается от оригинального домена (например, в описываемой мошеннической схеме использовано доменное имя sapsan.pw, а также более сложные комбинации).
Обновляйте браузер до последней версии.
Домен, на котором планируется покупка, важно проверить, используя для этого сайты tcinet.ru или whois.com: "возраст" сайта может быть признаком мошенничества. Как правило, фейковые сайты живут несколько дней. Не стоит совершать онлайн-покупки по предоплате на непроверенных сайтах.
Для покупок в интернете следует завести отдельную банковскую карту или использовать ее виртуальный аналог.
Будьте бдительны, чтобы мошенники не испортили вам отдых!