Group-IB выявила фишинговую атаку на россиян
Резидент Фонда «Сколково» (Группу ВЭБ.РФ) компания Group-IB накануне майских праздников выявила фишинговую атаку на россиян. Мошенники создали сеть фальшивых страниц для продажи электронных билетов на поезд «Сапсан». Злоумышленники получали не только деньги, но и платежные данные пользователей.
Group-IB совместно с ОАО «РЖД» проводят мероприятия по блокировке вредоносных ресурсов. Мошенники использовали классический сценарий: в поисках доступных билетов на «Сапсан» жертва, заманиваемая рекламой, попадает на сайт-ловушку. Желая приобрести билет онлайн, человек вводит данные банковской карты, в результате теряя и деньги, и данные. Эксперты призывают пользователей быть внимательными при онлайн-покупке железнодорожных билетов.
Константин Паршин, Вице-президент, Исполнительный директор Кластера информационных технологий Фонда «Сколково»: «CERT-GIB – Центр реагирования на инциденты кибербезопасности Group-IB – регулярно отражает кибератаки на россиян. Так, в 2020 году наш резидент обнаружил 21 мошеннический ресурс по продаже билетов на «Сапсан». Преступники активизировались перед долгими выходными. К середине месяца уникальных фишинговых доменов было уже 13. Сейчас большинство из них заблокированы, остальные находятся в процессе снятия с делегирования».
Фальшивые ресурсы открываются в основном на мобильных устройствах iOS и Android, и в браузерах персональных компьютеров. Фишинговая кампания «разгонялась» с помощью рекламы, которая выводилась на первые позиции в поисковой выдаче в Яндексе/Google в ответ на запросы «билеты сапсан». Объявления содержали адреса веб-ресурсов, не связанные лексически с «Сапсаном».
Использование в мошеннической схеме доступа с мобильного устройства позволяло усыпить внимание потенциального покупателя, так как у него меньше шансов увидеть подмену домена. В то же время большинство антифишинговых систем защиты бессильны против блокировки всей схемы, поскольку сама ссылка в рекламном объявлении и адрес фишингового домена никак не связаны с используемым в атаке брендом. Таким образом, даже если ресурс, на котором располагался конечный фишинг, блокируется, мошенники просто начинают перенаправлять поток на другой действующий домен, даже не отключая рекламу.
Ярослав Каргалев, замруководителя Центра круглосуточного реагирования на инциденты информационной безопасности CERT-GIB: «Перед праздниками злоумышленники увеличивают свою активность, встраиваясь в новостную повестку и активно используя социальную инженерию для привлечения потенциальных жертв. Совместно с РЖД мы продолжаем блокировку вредоносных ресурсов, предлагающих покупку железнодорожных билетов на скоростной поезд».
Чтобы не стать жертвой мошенников, необходимо соблюдать правила цифровой гигиены при приобретении товаров и услуг в Интернете. Group-IB рекомендует не переходить по ссылкам, присланным в подозрительных сообщениях электронной почты, соцсетях и мессенджерах. Особенно, если в них эксплуатируются темы подарков, льгот, выигрышей, снижения цен и др. Не стоит загружать вложенные файлы из сообщений, которые не запрашивались пользователем. Необходимо внимательно изучить адрес сайта (доменное имя), на который произошла переадресация. Обновляйте браузер до последней версии. Домен, на котором планируется покупка, важно проверить, используя для этого сайты tcinet.ru или whois.com: «возраст» сайта может быть признаком мошенничества. Как правило, фейковые сайты живут несколько дней. Не стоит совершать онлайн-покупки по предоплате на непроверенных сайтах. Для покупок в интернете следует завести отдельную банковскую карту или использовать ее виртуальный аналог.