Компания Group-IB сообщила о выявленной накануне майских праздников фишинговой атаке на россиян: мошенники создали сеть фальшивых страниц по продаже электронных билетов на поезд «Сапсан», нацеленных на кражу денежных средств и платежных данных пользователей. На момент сособщения часть ресурсов еще функционировала и Group-IB совместно с ОАО «РЖД» проводили мероприятия по их блокировке. Эксперты компании призвали пользователей быть внимательными при покупке билетов на поезд онлайн.

По данным CERT-GIB (Центр реагирования на инциденты кибербезопасности Group-IB), единичные мошеннические ресурсы по продаже билетов на «Сапсан» встречались и раньше: в 2020 г. таких ресурсов было обнаружено 21, за январь и февраль текущего года – 2 и 3. Мошенники активизировались в апреле, перед майскими праздниками: к середине месяца количество уникальных фишинговых доменов составляло уже 13. На данный момент большинство из них заблокированы, остальные находятся в процессе снятия с делегирования.

Как выяснили в Group-IB, фальшивые ресурсы открывались в основном на мобильных устройствах – и на iOS, и на Android, однако встречались и такие, которые работали в браузерах ПК. Фишинговая кампания «разгонялась» с помощью рекламы, которая выводилась на первые позиции в поисковой выдаче в Яндексе/Google в ответ на запросы типа "билеты сапсан". Все рекламные объявления содержали адреса веб-ресурсов, не связанные лексически с «Сапсаном». При клике на рекламное объявление выполнялся переход на фишинговые сайты. Все они были созданы с помощью IFrame – легитимного компонента HTML, который позволяет встраивать на свой веб-ресурс контент стороннего сайта.

Использование в мошеннической схеме доступа с мобильного устройства, отмечают эксперты, позволяет усыпить внимание потенциального покупателя, так как у него меньше шансов увидеть подмену домена. В то же время большинство антифишинговых систем защиты бессильны против блокировки всей схемы, поскольку сама ссылка в рекламном объявлении и адрес фишингового домена никак не связаны с используемым в атаке брендом. Таким образом, даже если ресурс, на котором располагался конечный фишинг, блокируется, мошенники просто начинают перенаправлять на другой действующий домен, даже не отключая рекламу.

В схеме мошенничества использован классический сценарий: в поисках доступных билетов на «Сапсан» жертва попадает на сайт мошенников и, покупая билет онлайн, вводит там данные банковской карты. В результате теряются и деньги, и данные «пластика».

Как подчеркивают в CERT-GIB, перед праздниками злоумышленники увеличивают свою активность, встраиваясь в новостную повестку и активно используя социальную инженерию для привлечения жертв. Чтобы не стать жертвой мошенников, напоминают эксперты, необъходимо соблюдать правила цифровой гигиены при приобретении товаров и услуг в интернете. Group-IB рекомендует не переходить по ссылкам, присланным в подозрительных сообщениях электронной почты, соцсетях и мессенджерах, особенно если в них эксплуатируются темы подарков, льгот, выигрышей, снижения цен и т.д. Не стоит загружать вложенные файлы из сообщений, которые не запрашивались пользователем. Необходимо внимательно изучить адрес сайта (доменное имя), на который произошла переадресация; в большинстве случаев оно отличается от оригинального домена (например, в описываемой мошеннической схеме использовано доменное имя sapsan.pw, а также более сложные комбинации). Домен, на котором планируется покупка, важно проверить, используя для этого сайты tcinet.ru или whois.com: «возраст» сайта может быть признаком мошенничества. Как правило, фейковые сайты живут несколько дней. Не стоит совершать онлайн-покупки по предоплате на непроверенных сайтах.