Rambler's Top100
 
 
Все новости Новости отрасли

Group-IB и РЖД предупреждают россиян об опасности фишинговых сайтов

29 апреля 2021

Group-IB накануне майских праздников выявила фишинговую атаку на россиян: мошенники создали сеть фальшивых страниц по лже-продаже электронных билетов на поезд «Сапсан», нацеленных на кражу денежных средств и платежных данных пользователей. Сегодня часть ресурсов еще функционирует, Group-IB совместно с ОАО «РЖД» проводят мероприятия по их блокировке. Эксперты призывают пользователей быть внимательными при покупке билетов на поезд онлайн.

По данным CERT-GIB (Центр реагирования на инциденты кибербезопасности Group-IB), единичные мошеннические ресурсы по продаже билетов на «Сапсан» встречались и раньше: суммарно в 2020 году таких ресурсов было обнаружено 21. С начала 2021 года за январь и февраль – 2 и 3 соответственно. Мошенники активизировались в апреле, перед майскими праздниками. К середине месяца количество уникальных фишинговых доменов составляло уже 13. На данный момент большинство из них заблокированы, остальные находятся в процессе снятия с делегирования.  

Как удалось выяснить Group-IB, фальшивые ресурсы открывались, в основном, на мобильных устройствах — как на операционных системах iOS, так и Android, однако, встречались и  те, что «работали» в браузерах персональных компьютеров. Фишинговая кампания «разгонялась» с помощью рекламы, которая выводилась на первые позиции в поисковой выдаче в Яндексе/Google в ответ на запросы типа "билеты сапсан". Все рекламные объявления содержали адреса веб-ресурсов не связанные лексически с «Сапсаном».

При клике на рекламное объявление осуществлялся переход на фишинговые сайты.  Все они были созданы с помощью  IFrame — легитимного компонента HTML, который позволяет встраивать на свой веб-ресурс контент стороннего сайта.

Использование в мошеннической схеме доступа с мобильного устройства позволяет усыпить внимание потенциального покупателя билетов, так как у него меньше шансов увидеть подмену домена. В то же время большинство антифишинговых систем защиты бессильны против блокировки всей схемы, поскольку сама ссылка в рекламном объявлении и адрес фишингового домена никак не связаны с используемым в атаке брендом. Таким образом, даже если ресурс, на котором располагался конечный фишинг, блокируется, мошенники просто начинают перенаправлять на другой действующий домен, даже не отключая рекламу.

В схеме мошенничества использован классический сценарий: в поисках доступных билетов на «Сапсан» жертва, заманиваемая рекламой, попадает на сайт мошенников. Желая приобрести билет онлайн, она вводит данные банковской карты, в результате теряя и деньги, и данные «пластика». 

«Перед праздниками злоумышленники увеличивают свою активность, встраиваясь в новостную повестку и активно используя социальную инженерию для привлечения потенциальных жертв, — комментирует Ярослав Каргалев, замруководителя Центра круглосуточного реагирования на инциденты информационной безопасности CERT-GIB.  – Совместно с РЖД мы продолжаем блокировку вредоносных ресурсов, предлагающих покупку железнодорожных билетов на «скоростной поезд»».

Для того, чтобы не стать жертвой мошенников, необходимо соблюдать правила цифровой гигиены при приобретении товаров и услуг в Интернете. Group-IB рекомендует не переходить по ссылкам, присланным в подозрительных сообщениях электронной почты, соцсетях и мессенджерах, особенно если в них эксплуатируются темы подарков, льгот, выигрышей, снижения цен и др. Не стоит загружать вложенные файлы из сообщений, которые не запрашивались пользователем. Необходимо внимательно изучить адрес сайта (доменное имя), на который произошла переадресация. В большинстве случаев оно отличается от оригинального домена (например, в описываемой мошеннической схеме использовано доменное имя sapsan.pw, а также более сложные комбинации). Обновляйте браузер до последней версии. Домен, на котором планируется покупка, важно проверить, используя для этого сайты tcinet.ru или whois.com: «возраст» сайта может быть признаком мошенничества. Как правило, фейковые сайты живут несколько дней. Не стоит совершать онлайн-покупки по предоплате на непроверенных сайтах. Для покупок в интернете следует завести отдельную банковскую карту или использовать ее виртуальный аналог.

Источник: Group-IB

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.