Международная компания, специализирующаяся на предотвращении кибератак и расследовании высокотехнологичных преступлений Group-IB выявила в канун майских праздников сеть фишинговых страниц с мошеннической продажей билетов на поезда «Сапсан». Об этом говорится в сообщении компании.
«Group-IB накануне майских праздников выявила фишинговую атаку на россиян: мошенники создали сеть фальшивых страниц по лжепродаже электронных билетов на поезд «Сапсан», нацеленных на кражу денежных средств и платежных данных пользователей. Сегодня часть ресурсов еще функционирует, Group-IB совместно с ОАО «РЖД» проводят мероприятия по их блокировке. Эксперты призывают пользователей быть внимательными при покупке билетов на поезд онлайн», — говорится в сообщении.
По данным CERT-GIB (Центр реагирования на инциденты кибербезопасности Group-IB), единичные мошеннические ресурсы по продаже билетов на «Сапсан» встречались и раньше: суммарно в 2020 году таких ресурсов было обнаружено 21. С начала 2021 года за январь и февраль — 2 и 3. Мошенники активизировались в апреле, перед майскими праздниками. К середине месяца количество уникальных фишинговых доменов составляло уже 13, на данный момент большинство из них заблокированы, остальные находятся в процессе снятия с делегирования.
По данным компании, фальшивые ресурсы открывались в основном на мобильных устройствах — на операционных системах iOS и Android, однако встречались и те, что действовали в браузерах персональных компьютеров. Фишинговая кампания работала с помощью рекламы, которая выводилась на первые позиции в поисковой выдаче в «Яндексе» и Google в ответ на запросы типа «билеты сапсан». Все рекламные объявления содержали адреса веб-ресурсов, не связанные лексически с «Сапсаном».
«Использование в мошеннической схеме доступа с мобильного устройства позволяет усыпить внимание потенциального покупателя билетов, так как у него меньше шансов увидеть подмену домена. В то же время большинство антифишинговых систем защиты бессильны против блокировки всей схемы, поскольку сама ссылка в рекламном объявлении и адрес фишингового домена никак не связаны с используемым в атаке брендом.
Таким образом, даже если ресурс, на котором располагался конечный фишинг, блокируется, мошенники просто начинают перенаправлять на другой действующий домен, даже не отключая рекламу. В схеме мошенничества использован классический сценарий: в поисках доступных билетов на «Сапсан» жертва, заманиваемая рекламой, попадает на сайт мошенников. Желая приобрести билет онлайн, она вводит данные банковской карты, в результате теряя и деньги, и данные карт, объясняют эксперты.
О безопасности
В Group-IB рекомендуют соблюдать правила цифровой гигиены при приобретении товаров и услуг в интернете — не стоит переходить по ссылкам, присланным в подозрительных сообщениях электронной почты, соцсетях и мессенджерах, особенно если в них эксплуатируются темы подарков, льгот, выигрышей, снижения цен. Также эксперты говорят, что не стоит загружать вложенные файлы из сообщений, которые не запрашивались пользователем. Необходимо внимательно изучить адрес сайта (доменное имя), на который произошла переадресация. В большинстве случаев оно отличается от оригинального домена (например в описываемой мошеннической схеме использовано доменное имя sapsan.pw, а также более сложные комбинации).
Также необходимо обновлять браузер до последней версии. Домен, на котором планируется покупка, важно проверить, используя для этого сайты tcinet.ru или whois.com. Не стоит совершать онлайн-покупки по предоплате на непроверенных сайтах, для покупок в интернете следует завести отдельную банковскую карту или использовать ее виртуальный аналог.