Кубок фишинга: мошенники запустили тысячи фейковых сайтов к чемпионату мира 2022 по футболу в Катаре

Компания Group-IB, один из лидеров в сфере кибербезопасности, обнаружила более 16 000 мошеннических ресурсов, на которых любителям футбола предлагали билеты на матчи чемпионата мира в Катаре, а также одежду и сувениры с официальной символикой FIFA 2022. Как удалось выяснить Group-IB, ещё более 60 таких ресурсов нацелены на российских болельщиков — под видом розыгрыша призов на фейковой странице трансляций футбольных матчей у зрителей похищали деньги и данные банковских карт.

Ловушка с трансляцией

В разгар крупнейшего футбольного события в Катаре специалисты Центра реагирования на инциденты информационной безопасности Group-IB — СERT-GIB (24/7) обнаружили в Рунете активную сеть из 66 ресурсов, которые под видом прямых трансляций c матчей, перенаправляли пользователей на скаммерские и фишинговые сайты.

Ранее владелец этой сети под ником Kinohoot использовал аналогичную схему во время Летних Олимпийских игр в Токио 2020-го года и зимних Олимпийских игр в Пекине двумя годами позже. За несколько лет наблюдения за его активностью, Group-IB зафиксировала 382 домена, зарегистрированных злоумышленником под различные схемы «развода», связанные со спортивными событиями.

Рис 1. Пример ссылок на фейковые трансляции

Как выяснили эксперты компании, анонсы прямых трансляций мошенник по-прежнему размещает на взломанных страничках легальных сайтов, например, университетов.

Схема обмана тоже не изменилась: на мошенническом сайте болельщикам предлагается поучаствовать в розыгрыше бесплатного доступа к трансляциям, открыв одну из 12 «коробочек», высвечивающихся на экране. Пользователю дается три попытки, чтобы выбрать коробку с денежным призом в размере $10 до $10 000. После двух неудачных попыток — третья всегда оказывается удачной.

Далее «победителя» по классическому сценарию просят оплатить небольшую «комиссию» за конвертацию — 300-500 рублей, для чего ему приходится вводить данные банковской карты. В итоге трансляция так и не начинается, а жертва теряет и деньги, и данные карты.

Рис 2. Сообщение о розыгрыше на фишинговом сайте

“Чтобы избежать блокировки сразу всех своих доменов, преступники оставляют активными только несколько сайтов, а остальные находятся в «спящем режиме. Такие ресурсы могут быть запущены в считанные минуты в любой момент, при этом обнаружить и заблокировать их до активации достаточно сложно. Именно поэтому мы рекомендуем футбольным болельщикам быть бдительными и следовать элементарным правилам кибергигиены: не переходить по сомнительным ссылкам, проверять сайты, где вводите данные, и, разумеется, не оплачивать своей банковской картой покупки и услуги на незнакомых ресурсах.”

Глеб Мартьянов

Главный эксперт Центра реагирования на инциденты информационной безопасности Group-IB (CERT-GIB, 24/7)

Билет в лужу

В целом, решение Group-IB Digital Risk Protection обнаружило более 16 000 фейковых ресурсов, использующих тему чемпионата мира по футболу FIFA 2022 в Катаре, чтобы украсть данные и деньги любителей футбола.

Кроме фейковых трансляций, специалисты Group-IB выделили 4 основных мошеннических сценария, которые преступники используют во время мундиаля. Например, мошенники массово регистрировали фейковые интернет-магазины на английском и арабских языках, где предлагали болельщикам приобрести фирменные футболки национальных сборных-участниц турнира, сувениры или билеты на матч.

Рис 3-4. Фишинговый сайт по продаже билетов на русском языке

После того как жертва вводила данные своей банковской карты, они оказывались в руках у преступников, а деньги списывались. В других сценариях злоумышленники предлагали заполнить анкету для получения ценного приза или трудоустройства в качестве волонтера на период чемпионата — опрос также оказывался ловушкой для кражи денег и персональных данных.

Чтобы защитить футбольных болельщиков от атак киберпреступников, Group-IB поделилась обнаруженными ресурсами с представителями Интерпола и группой реагирования на компьютерные инциденты Катара (Q-CERT).

О компании

Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества, исследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети. Компания является резидентом «Сколково» и Иннополиса.

Международные Центры исследования киберугроз Group-IB находятся в Азиатско-Тихоокеанском регионе (Сингапур), на Ближнем Востоке (Дубай), в Европе (Амстердам).

В основе технологического лидерства Group-IB — 19-летний практический опыт исследований киберпреступлений по всему миру и более 70 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики и круглосуточном центре оперативного реагирования CERT-GIB. Решения Group-IB признаны ведущими аналитическими агентствами Forrester, Gartner, IDC и только в нынешнем году получили 8 золотых наград в рамках Cybersecurity Excellence Awards.