Сапсан в никуда. Безопасники зафиксировали рост обмана с билетами
Накануне майских праздников от злоумышлеников нет покоя ни на земле, ни в воздухе. И в Интернете само-собой.
После того, нам объявили о выходных с 1 по 10 мая безопасники зафиксировали всплеск мошенничества в интернете, связанного с продажей авиа и железнодорожных билетов.
Мы расскажем, как кибербандиты активно используют социальную инженерию для привлечения потенциальных жертв.
Призрачный поезд
Злоумышленники создали сеть фальшивых страниц по лже-продаже электронных билетов на поезд „Сапсан", нацеленных на кражу денег и платежных данных пользователей.По данным безопасников, единичные мошеннические ресурсы по продаже билетов на "Сапсан" встречались и раньше: суммарно в 2020 году таких ресурсов было обнаружено 21.
С начала 2021 года за январь и февраль — 2 и 3 соответственно. Мошенники активизировались в апреле, перед майскими праздниками. К середине месяца количество уникальных фишинговых доменов составляло уже 13.
В схеме использован классический сценарий: при поиске в популярных поисковиках доступных билетов на «Сапсан» пользователи, привлеченные рекламой, попадают на сайт злоумышленников .
Все они были созданы с помощью IFrame — легитимного компонента HTML, который позволяет встраивать на свой веб-ресурс контент стороннего сайта.
Желая приобрести билет онлайн, жертва вводит данные банковской карты, в результате теряя и деньги, и данные «пластика». Отличие схемы в том, что фальшивые ресурсы открывались, в основном, на мобильных устройствах — как на операционных системах iOS, так и Android, однако, встречались и те, что «работали» в браузерах персональных компьютеров.
Использование в мошеннической схеме доступа с мобильного устройства позволяет усыпить внимание потенциального покупателя билетов, так как у него меньше шансов увидеть подмену домена.
В то же время большинство антифишинговых систем защиты бессильны против блокировки всей схемы, поскольку сама ссылка в рекламном объявлении и адрес фишингового домена никак не связаны с используемым в атаке брендом. Таким образом, даже, если ресурс, на котором располагался конечный фишинг, блокируется, злоумышленники просто начинают перенаправлять на другой действующий домен, даже не отключая рекламу.
С билетом можно пролететь
Довольно часто вредоносные ресурсы копируют сайты популярных агрегаторов авиабилетов или представляют собой полностью самостоятельные страницы для подбора перелетов.В апреле безопасники выявили 50 фишинговых сайтов по продаже авиабилетов по низким ценам. Для сравнения, за весь 2020 год было зафиксировано 56 таких ресурсов, в январе 2021-го — 9, в феврале — 5, в марте — ни одного.
Пик мошенничеств пришелся на последнюю неделю апреля. Вредоносные ресурсы зачастую находились на первой позиции в поисковой выдаче в Яндексе/Google по запросу "купить авиабилеты", "дешевые билеты"...
Особенность апрельских атак в том, что целевая аудитория для мошенников — пользователи смартфонов, в большинстве случаев фишинговые сайты открываются только с мобильных платформ.
Как бороться?
Безопасники рекомендуют не переходить по ссылкам, присланным в подозрительных сообщениях электронной почты, соцсетях и мессенджерах, особенно если в них эксплуатируются темы подарков, льгот, выигрышей, снижения цен и др.Не стоит загружать вложенные файлы из сообщений, которые не запрашивались пользователем. Необходимо внимательно изучить адрес сайта (доменное имя), на который произошла переадресация. В большинстве случаев оно отличается от оригинального домена (например, в описываемой мошеннической схеме использовано доменное имя sapsan.pw, а также более сложные комбинации).
Домен, на котором планируется покупка, важно проверить, используя для этого сайты tcinet.ru или whois.com: "возраст" сайта может быть признаком мошенничества. Как правило, фейковые сайты живут несколько дней. Не стоит совершать онлайн-покупки по предоплате на непроверенных сайтах.
