Group-IB зафиксировала масштабную мошенническую атаку с использованием брендов крупнейших международных компаний: Emirates, Lufthansa, El Al Israel Airlines, SPAR, Virgin America, Delta Air Lines, Air-France, Aeroflot. По данным Threat Intelligence, входящей в систему раннего предупреждения киберугроз Group-IB, злоумышленники зарегистрировали 95 фейковых сайтов, использующих названия 19 известных брендов. Первыми удару подверглись авиакомпаний. Это не случайно, ведь май и июнь — начало сезона массовых отпусков. В списке также есть производители luxury-брендов, например, Rolex.

По данным Group-IB, первые сайты злоумышленники начали регистрировать в конце марта 2017 года. Авторы атаки в первую очередь нацелены не на российских пользователей: для продвижения использован Facebook, большинство использованных брендов принадлежат международным компаниям, сайты зарегистрированы на иностранных граждан, регистратор — в США. Group-IB предупредила клиентов об угрозах и оперативно начала закрывать фейковые сайты.

Как работает мошенническая схема:

  1. «#Emirates (как вариант — Virgin America, Lufthansa, Aeroflot) дарит 2 билета» — такой пост за несколько последних дней стал популярным в Facebook. Мошенники, так же как и маркетологи, любят использовать для привлечения внимания подарки, розыгрыши и «специальные акции». Успех атаки обеспечен, если в распространении ссылки поучаствуют «друзья» пользователя в соцсетях;
  2. когда вы кликаете по ссылке в фейсбуке от ваших друзей — попадаете на сайт с доменным именем типа «эмираты-бесплатно-2-билета-ком-абракадабра-точка-ком», что уже должно настораживать. Чтобы усыпить бдительность, злоумышленники сознательно создают адреса, использующее название известных брендов. Эта технология называется «cпуфинг» (англ. spoofing — обман, мистификация);
  3. на фейковом сайте посетителю предлагается ответить на несколько несложных вопросов. Например, «Вы действительно хотите получить 2 бесплатных билета от Emirates?» и «Подтвердите, что вы совершеннолетний(ая)». Этот прием, известный как «цыганский гипноз» — положительный ответ на заданный вопрос психологически вызывает доверие;
  4. затем вас попросят оставить свои данные: имя, электронную почту, телефон, дату рождения, адрес;
  5. после этого вы увидите сообщение «Поздравляем, вы выиграли два билета!». Чтобы их «получить», необходимо «лайкнуть» страницу, «расшарить» пост среди своих друзей на странице. Таким образом вы невольно вовлечете в мошенническую схему ваших друзей.

Специалисты отдела расследований Group-IB выяснили, что эта схема использовалась для нагона трафика на сайты клиентов американской компании, которая предоставляет пользователям услуги по продвижению и монетизации интернет и мобильных приложений. Использовал эту схему 28-летний житель Исламабада. В 2013 году он планировал запустить свою рекламную сеть, но потерпел неудачу. После этого он решил провести кампанию c фальшивым розыгрышем бесплатных билетов для генерации трафика на рекламные площадки. Первые сайты были зарегистрированы в конце марта. Акция ориентирована на иностранных пользователей: для продвижения использован Facebook, большинство жертв — международные бренды.

«Если вам есть, что терять — меняйте подход к кибербезопасности. Главное оружие против злоумышленников — знания. Проведите тренинг для сотрудников и членов семьи, задайте правильные вопросы своему знакомому айтишнику, сделайте аудит систем. Цифровая беспечность — ходовой товар на черном рынке, и объем этого рынка сегодня — миллиарды долларов», — сказал директор по работе с частными клиентами Group-IB Руслан Юсуфов.