Group-IB зафиксировала масштабную мошенническую атаку с использованием брендов крупнейших международных компаний: Emirates, Lufthansa, El Al Israel Airlines, SPAR, Virgin America, Delta Air Lines, Air-France, Aeroflot.
По данным Threat Intelligence, входящей в систему раннего предупреждения киберугроз Group-IB, злоумышленники зарегистрировали 95 фейковых сайтов, использующих названия 19 известных брендов. Первыми удару подверглись авиакомпаний. Это не случайно, ведь май и июнь — начало сезона массовых отпусков. В списке также есть производители luxury-брендов, например, Rolex.
По данным Group-IB, первые сайты злоумышленники начали регистрировать в конце марта 2017 года. Авторы атаки в первую очередь нацелены не на российских пользователей: для продвижения использован Facebook, большинство использованных брендов принадлежат международным компаниям, сайты зарегистрированы на иностранных граждан, регистратор — в США. Group-IB предупредила клиентов об угрозах и оперативно начала закрывать фейковые сайты.
Как работает мошенническая схема:
- «#Emirates (как вариант - Virgin America, Lufthansa, Aeroflot) дарит 2 билета» — такой пост за несколько последних дней стал популярным в Facebook. Мошенники, так же как и маркетологи, любят использовать для привлечения внимания подарки, розыгрыши и «специальные акции». Успех атаки обеспечен, если в распространении ссылки поучаствуют «друзья» пользователя в соцсетях.
- Когда вы кликаете по ссылке в фейсбуке от ваших друзей - попадаете на сайт с доменным именем типа «эмираты-бесплатно-2-билета-ком-абракадабра-точка-ком», что уже должно настораживать. Чтобы усыпить бдительность, злоумышленники сознательно создают адреса, использующее название известных брендов. Эта технология называется «cпуфинг» (англ. spoofing – обман, мистификация).
- На фейковом сайте посетителю предлагается ответить на несколько несложных вопросов. Например, «Вы действительно хотите получить 2 бесплатных билета от Emirates?» и «Подтвердите, что вы совершеннолетний(ая)». Этот прием, известный как «цыганский гипноз» — положительный ответ на заданный вопрос психологически вызывает доверие.
- Затем вас попросят оставить свои данные: имя, электронную почту, телефон, дату рождения, адрес.
- После этого вы увидите сообщение «Поздравляем, вы выиграли два билета!». Чтобы их «получить», необходимо «лайкнуть» страницу, «расшарить» пост среди своих друзей на странице. Таким образом вы невольно вовлечете в мошенническую схему ваших друзей.
Специалисты отдела расследований Group-IB выяснили, что эта схема использовалась для нагона трафика на сайты клиентов американской компании, которая предоставляет пользователям услуги по продвижению и монетизации интернет и мобильных приложений. Использовал эту схему 28-летний житель Исламабада. В 2013 году он планировал запустить свою рекламную сеть, но потерпел неудачу. После этого он решил провести кампанию c фальшивым розыгрышем бесплатных билетов для генерации трафика на рекламные площадки. Первые сайты были зарегистрированы в конце марта. Акция ориентирована на иностранных пользователей: для продвижения использован Facebook, большинство жертв — международные бренды.
«Если вам есть, что терять - меняйте подход к кибербезопасности. Главное оружие против злоумышленников – знания. Проведите тренинг для сотрудников и членов семьи, задайте правильные вопросы своему знакомому айтишнику, сделайте аудит систем. Цифровая беспечность - ходовой товар на черном рынке, и объем этого рынка сегодня - миллиарды долларов» - сказал Директор по работе с частными клиентами Group-IB Руслан Юсуфов.
