Билет в никуда: Group-IB зафиксировала рост мошеннических ресурсов по продаже железнодорожных и авиабилетов

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.

Накануне майских праздников от мошенников нет покоя ни на земле, ни в воздухе. Ну, и в Интернете само-собой. После того, как Владимир Путин в конце апреля объявил выходными дни с 1 по 10 мая CERT-GIB (Центр реагирования на инциденты кибербезопасности Group-IB) зафиксировал всплеск мошенничества в интернете, связанного с продажей авиа и железнодорожных билетов. "Перед праздниками злоумышленники увеличивают свою активность, встраиваясь в новостную повестку и активно используют социальную инженерию для привлечения потенциальных жертв", — говорит Ярослав Каргалев, заместитель руководителя CERT-GIB. Эксперты призывают пользователей быть внимательнее при покупке билетов онлайн — полезные рекомендации в конце статьи.

Призрачный поезд

Накануне майских праздников мошенники создали сеть фальшивых страниц по лже-продаже электронных билетов на поезд „Сапсан", нацеленных на кражу денег и платежных данных пользователей.

По данным CERT-GIB (Центр реагирования на инциденты кибербезопасности Group-IB), единичные мошеннические ресурсы по продаже билетов на "Сапсан" встречались и раньше: суммарно в 2020 году таких ресурсов было обнаружено 21. С начала 2021 года за январь и февраль — 2 и 3 соответственно. Мошенники активизировались в апреле, перед майскими праздниками. К середине месяца количество уникальных фишинговых доменов составляло уже 13. Часть ресурсов еще функционирует, Group-IB совместно с ОАО “РЖД" проводят мероприятия по их блокировке.

В схеме использован классический сценарий: при поиске в популярных поисковиках доступных билетов на «Сапсан» пользователи, привлеченные рекламой, попадают на сайт мошенников. Все они были созданы с помощью IFrame — легитимного компонента HTML, который позволяет встраивать на свой веб-ресурс контент стороннего сайта. Желая приобрести билет онлайн, жертва вводит данные банковской карты, в результате теряя и деньги, и данные «пластика». Отличие схемы в том, что фальшивые ресурсы открывались, в основном, на мобильных устройствах — как на операционных системах iOS, так и Android, однако, встречались и те, что «работали» в браузерах персональных компьютеров.

Использование в мошеннической схеме доступа с мобильного устройства позволяет усыпить внимание потенциального покупателя билетов, так как у него меньше шансов увидеть подмену домена. В то же время большинство антифишинговых систем защиты бессильны против блокировки всей схемы, поскольку сама ссылка в рекламном объявлении и адрес фишингового домена никак не связаны с используемым в атаке брендом. Таким образом, даже, если ресурс, на котором располагался конечный фишинг, блокируется, мошенники просто начинают перенаправлять на другой действующий домен, даже не отключая рекламу.

С билетом можно пролететь

Довольно часто вредоносные ресурсы копируют сайты популярных агрегаторов авиабилетов или представляют собой полностью самостоятельные страницы для подбора перелетов. В апреле Group-IB выявила 50 фишинговых сайтов по продаже авиабилетов по низким ценам. Для сравнения, за весь 2020 год было зафиксировано 56 таких ресурсов, в январе 2021-го — 9, в феврале — 5, в марте — ни одного. Пик мошенничеств пришелся на последнюю неделю апреля. Вредоносные ресурсы зачастую находились на первой позиции в поисковой выдаче в Яндексе/Google по запросу "купить авиабилеты", "дешевые билеты"...

"Когда посетитель фейкового сайта вводит данные карты, в том числе CVV-код, для оплаты авиабилетов, деньги уходят на счета злоумышленника, а билетов никто не получает", — пояснил Ярослав Каргалев. Он добавил, что к преступникам также попадают данные банковской карты, которые они могут использовать для покупок в Интернете. Особенность апрельских атак в том, что целевая аудитория для мошенников — пользователи смартфонов, в большинстве случаев фишинговые сайты открываются только с мобильных платформ.

Как не стать жертвой?

Group-IB рекомендует не переходить по ссылкам, присланным в подозрительных сообщениях электронной почты, соцсетях и мессенджерах, особенно если в них эксплуатируются темы подарков, льгот, выигрышей, снижения цен и др.

Не стоит загружать вложенные файлы из сообщений, которые не запрашивались пользователем. Необходимо внимательно изучить адрес сайта (доменное имя), на который произошла переадресация. В большинстве случаев оно отличается от оригинального домена (например, в описываемой мошеннической схеме использовано доменное имя sapsan.pw, а также более сложные комбинации).

Обновляйте браузер до последней версии.

Домен, на котором планируется покупка, важно проверить, используя для этого сайты tcinet.ru или whois.com: "возраст" сайта может быть признаком мошенничества. Как правило, фейковые сайты живут несколько дней. Не стоит совершать онлайн-покупки по предоплате на непроверенных сайтах.

Для покупок в интернете следует завести отдельную банковскую карту или использовать ее виртуальный аналог.

Будьте бдительны, чтобы мошенники не испортили вам отдых!

Источник: https://habr.com/ru/company/group-ib/blog/555090/


Интересные статьи

Интересные статьи

О костылях и велосипедах, неотъемлемой части современной некромантии.Эпиграф: «Пусть это вдохновит Вас на подвиг!» (Бел Кауфман, «Вверх по лестнице, ведущей вниз»).Это ис...
В этой статье мы проведем сравнительные тесты самых распространенных программ для восстановления данных с файловой системы ApFS под OS Catalina. Читать дальше → ...
Прошлым летом, когда миллионы людей вышли на улицы, протестуя против полицейского произвола после убийства Джорджа Флойда, государственные учреждения, не теряя времени, обратились к сис...
У вас наверняка было такое, когда вы и ваши друзья очень хотели посмотреть какой-нибудь фильм, а после жалели о том, что потратили на него время. Или, может быть, вы помните тот момен...
В последние годы всё больше платформ для оптимизации фронтенд-проектов предлагают возможности по самостоятельному хостингу или проксированию сторонних ресурсов. Akamai позволяет задавать специфич...