29 апреля 2021

Призрачный поезд: Group-IB и РЖД накануне майских праздников предупреждают россиян об опасности фишинговых сайтов

Group-IB, международная компания, специализирующаяся на предотвращении кибератак и расследовании высокотехнологичных преступлений, накануне майских праздников выявила фишинговую атаку на россиян: мошенники создали сеть фальшивых страниц по лже-продаже электронных билетов на поезд „Сапсан„, нацеленных на кражу денежных средств и платежных данных пользователей. Сегодня часть ресурсов еще функционирует, Group-IB совместно с ОАО “РЖД" проводят мероприятия по их блокировке. Эксперты призывают пользователей быть внимательными при покупке билетов на поезд онлайн.

Рис.1. Пример фишингового ресурса по продаже билетов на «Сапсан»

По данным CERT-GIB (Центр реагирования на инциденты кибербезопасности Group-IB), единичные мошеннические ресурсы по продаже билетов на "Сапсан" встречались и раньше: суммарно в 2020 году таких ресурсов было обнаружено 21. С начала 2021 года за январь и февраль — 2 и 3 соответственно. Мошенники активизировались в апреле, перед майскими праздниками. К середине месяца количество уникальных фишинговых доменов составляло уже 13. На данный момент большинство из них заблокированы, остальные находятся в процессе снятия с делегирования.

Рис 2. Пример рекламного «разгона» фишингового ресурса.

При клике на рекламное объявление осуществлялся переход на фишинговые сайты. Все они были созданы с помощью IFrame — легитимного компонента HTML, который позволяет встраивать на свой веб-ресурс контент стороннего сайта.

Использование в мошеннической схеме доступа с мобильного устройства позволяет усыпить внимание потенциального покупателя билетов, так как у него меньше шансов увидеть подмену домена. В то же время большинство антифишинговых систем защиты бессильны против блокировки всей схемы, поскольку сама ссылка в рекламном объявлении и адрес фишингового домена никак не связаны с используемым в атаке брендом. Таким образом, даже если ресурс, на котором располагался конечный фишинг, блокируется, мошенники просто начинают перенаправлять на другой действующий домен, даже не отключая рекламу.

В схеме мошенничества использован классический сценарий: в поисках доступных билетов на «Сапсан» жертва, заманиваемая рекламой, попадает на сайт мошенников. Желая приобрести билет онлайн, она вводит данные банковской карты, в результате теряя и деньги, и данные «пластика».

Рис.3. Этапы фишинговой схемы с онлайн-покупкой билетов

Перед праздниками злоумышленники увеличивают свою активность, встраиваясь в новостную повестку и активно используя социальную инженерию для привлечения потенциальных жертв. Совместно с РЖД мы продолжаем блокировку вредоносных ресурсов, предлагающих покупку железнодорожных билетов на «скоростной поезд».

Ярослав Каргалев

Ярослав Каргалев

Заместитель руководителя Центра круглосуточного реагирования на инциденты информационной безопасности CERT-GIB

Для того, чтобы не стать жертвой мошенников, необходимо соблюдать правила цифровой гигиены при приобретении товаров и услуг в Интернете. Group-IB рекомендует не переходить по ссылкам, присланным в подозрительных сообщениях электронной почты, соцсетях и мессенджерах, особенно если в них эксплуатируются темы подарков, льгот, выигрышей, снижения цен и др. Не стоит загружать вложенные файлы из сообщений, которые не запрашивались пользователем. Необходимо внимательно изучить адрес сайта (доменное имя), на который произошла переадресация. В большинстве случаев оно отличается от оригинального домена (например, в описываемой мошеннической схеме использовано доменное имя sapsan.pw, а также более сложные комбинации). Обновляйте браузер до последней версии. Домен, на котором планируется покупка, важно проверить, используя для этого сайты tcinet.ru или whois.com: "возраст" сайта может быть признаком мошенничества. Как правило, фейковые сайты живут несколько дней. Не стоит совершать онлайн-покупки по предоплате на непроверенных сайтах. Для покупок в интернете следует завести отдельную банковскую карту или использовать ее виртуальный аналог.

Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества, расследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети со штаб-квартирой в Сингапуре. Центры исследования киберугроз компании находятся на Ближнем Востоке (Дубай), в Азиатско-Тихоокеанском регионе (Сингапур), в Европе (Амстердам) и в России (Москва).

Система сбора данных о киберугрозах Group-IB Threat Intelligence & Attribution признана одной из лучших в мире по версии Gartner, Forrester, и IDC. Решение Group-IB Threat Hunting Framework (ранее — TDS) для проактивного поиска и защиты от сложных и неизвестных киберугроз получило признание ведущего европейского аналитического агентства KuppingerCole Analysts AG, а компания Group-IB вошла в число лидеров рынка в категориях «Product Leader» и «Innovation Leader». Технологии Group-IB по защите от онлайн-мошенничества в интернет-банкинге и сервисах электронной коммерции Fraud Hunting Platform получили признание Gartner, агентство присвоило Group-IB статус надежного поставщика в категории «Решения по выявлению онлайн-мошенничества». Решение Digital Risk Protection для выявления и устранения цифровых рисков, а также противодействия атакам с неправомерным использованием бренда получило престижную премию Innovation Excellence от глобального консалтингового агентства Frost & Sullivan.

В основе технологического лидерства компании и ее возможностей в сфере научных исследований и разработки — 18-летний практический опыт расследования киберпреступлений по всему миру и более 65 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики, департаменте расследований и круглосуточном центре оперативного реагирования CERT-GIB.

Компания является резидентом «Сколково» и Иннополиса. Group-IB — партнер Europol.

Опыт Group-IB в поиске угроз и киберразведке был интегрирован в спектр решений, объединивший чрезвычайно сложное программное и системное обеспечение, с целью мониторинга, обнаружения и предотвращения кибератак.

Миссия Group-IB — защищать наших клиентов в киберпространстве, создавая и используя инновационные продукты и решения.

>

Сообщить об инциденте

Центр круглосуточного реагирования на инциденты
информационной безопасности +7 495 984-33-64

Отправляя форму, даю согласие на обработку своих персональных данных в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ
Спасибо, мы свяжемся с Вами в самое ближайшее время
Сообщить об инциденте