Эксперты обнаружили сеть фейковых сайтов по продаже билетов на «Сапсан»
Мошенники создали сеть фальшивых страниц по продаже электронных билетов на поезд «Сапсан», нацеленных на кражу денег и платежных данных пользователей. Злоумышленники активизировались в апреле, перед майскими праздниками. К середине месяца количество уникальных фишинговых доменов составляло 13, сейчас большинство из них заблокированы, остальные продолжают функционировать.
Фальшивые ресурсы открывались в основном на мобильных устройствах – как на операционных системах iOS, так и Android, но встречались и те, что работали в браузерах компьютеров, выяснили специалисты Group-IB.
Фишинговая кампания «разгонялась» с помощью рекламы, которая выводилась на первые позиции в поисковой выдаче в Яндексе и Google в ответ на запросы вроде «билеты сапсан». Все рекламные объявления содержали адреса веб-ресурсов, не связанные лексически с «Сапсаном». При клике на рекламное объявление осуществлялся переход на фишинговые сайты.
Большинство антифишинговых систем защиты бессильны против блокировки всей схемы, поскольку сама ссылка в рекламном объявлении и адрес фишингового домена никак не связаны с используемым в атаке брендом, говорят специалисты Group-IB. Таким образом, даже если ресурс, на котором располагался конечный фишинг, блокируется, мошенники просто начинают перенаправлять на другой действующий домен, даже не отключая рекламу.
«Перед праздниками злоумышленники увеличивают свою активность, встраиваясь в новостную повестку и активно используя социальную инженерию для привлечения потенциальных жертв, – комментирует заместитель руководителя Центра круглосуточного реагирования на инциденты информационной безопасности CERT-GIB Ярослав Каргалев. – Совместно с РЖД мы продолжаем блокировку вредоносных ресурсов, предлагающих покупку железнодорожных билетов на «скоростной поезд»».
Чтобы не стать жертвой злоумышленников, Group-IB рекомендует не переходить по ссылкам, присланным в подозрительных сообщениях электронной почты, соцсетях и мессенджерах, особенно если в них эксплуатируются темы подарков, льгот, выигрышей, снижения цен и других «акций». Также не стоит загружать вложенные файлы из сообщений, которые не запрашивались пользователем.