Авиакомпании приземляют на фейковые страницы

Мошенники второй раз за полгода скомпрометировали бренды крупных международных авиакомпаний.

Мошенники второй раз за полгода скомпрометировали бренды крупных международных авиакомпаний. Group-IB зафиксировала вторую волну вирусной рассылки с использованием брендов крупнейших международных компаний: Lufthansa, Air Canada, Swissair, British Airways, Air-France, Austrian Airlines. По данным Threat Intelligence, входящей в систему раннего предупреждения киберугроз Group-IB, злоумышленники зарегистрировали в сентябре, как минимум, 86 фейковых сайтов, использующих названия известных брендов. Предыдущую вирусную кампанию мошенники запустили в июне в разгар отпусков — и использовали ее для нагона рекламного трафика.

В этот раз для продвижения в Facebook злоумышленники использовали уже отработанную схему "подарка": "Lufthansa дарит два билета!". Под влиянием «халявы» и френдов — подобные вирусные посты активно шерят коллеги, друзья и знакомые — человек переходит на сайт с логотипом авиакомпании. Чтобы усыпить бдительность, злоумышленники сознательно создают адреса, использующее название известных брендов. Эта технология называется «cпуфинг» (англ. spoofing — обман, мистификация).

Для того, чтобы получить авиабилеты в подарок, пользователю нужно ответить на три несложных вопроса, типа «Вы когда-нибудь путешествовали с нами», «Вы действительно хотите получить 2 бесплатных билета?» и «Подтвердите, что вы совершеннолетний(ая)». После этого появляется сообщение "Lufthansa дарит вам 2 билета!" и фотография двух посадочных талонов с логотипом авиакомпании. Чтобы их получить, необходимо лайкнуть страницу, расшарить пост среди своих друзей на странице. Таким образом, вы невольно вовлекаете в мошенническую схему ваших друзей.

Разумеется, никаких бесплатных авиабилетов нет. В лучшем случае пользователя перенаправляют на какую-ту рекламную страницу, а мошенники получают деньги за привлеченный трафик. Сейчас эта вирусная кампания стартовала в Европе — первые посты появились у иностранных пользователей Facebook. 26 сентября авиакомпания Lufthansa на своей официальной страничке в Facebook сообщила о фейковой акции и призвала пассажиров не поддаваться на провокации и задуматься о собственной безопасности!

Проблемы возникли не только у Lufthansa. Специалисты CERT Group-IB (Центра круглосуточного реагирования на киберинциденты) обнаружили, что на имя некого Rachita M., начиная с 31 августа, зарегистрировано как минимум 86 доменов, в которых использовал названия международных авиакомпаний: Air Canada, Swissair, British Airways, Air-France, Austrian Airlines и т.д. Под каждую фейковую кампанию злоумышленники сфотографировали фирменные посадочные талоны, а опросник сделан на "родных" для авиакомпаний" языках.

Напомним, что похожая масштабная рассылка уже была зафиксирована в июне этого года. Специалисты отдела расследований Group-IB выяснили, что мошенники использовали бренды авиакомпаний для нагона трафика на сайты клиентов американской компании, которая предоставляет пользователям услуги по продвижению и монетизации сайтов и мобильных приложений. В отдельных случаях пользователей просили оставить свои данные: имя, электронную почту, телефон, дату рождения, адрес или подписывали на платные услуги.

В этот раз конченая цель кампании не совсем понятна — пользователей никуда не перенаправляют. Часть обнаруженных фейковых сайтов с опросами не открывается, возможно, мошенники находятся только на этапе подготовки к масштабной акции.

Опасность заключается в том, что эту схему могут использовать хакеры для кибератак. Специальные люди — трафферы перенаправляют пользователей с популярных сайтов на вредоносные, с которых загружаются трояны, ворующие деньги. Компьютер могут подключить к ботнету для проведения DDOS-атак или использовать для майнинга биткоинов.

Случаи, когда мошенники используют бренд компании, логотипы и фирменные цвета, а то и вовсе полностью копируют ее сайт — не редкость. В результате репутации компании может быть нанесен непоправимый урон. Наши технологии позволяют мониторить миллионы ресурсов и выявлять мошеннические сайты сразу после регистрации домена.

Дмитрий Русаков

глава направления Brand Protection Group-IB

Чем это грозит авиакомпании

Не получив обещанные подарки или обнаружив недействительность билетов, клиенты атакуют авиакомпании жалобами и распространяют нелестные отзывы в социальных сетях. Мы рекомендуем компаниям использовать системы мониторинга доменных имен, чтобы находить фейки, проверять поисковую выдачу, блокировать фейковые сайты и аккаунты в соцсетях.

Как пассажирам не стать жертвой мошенников

Соблюдайте правила цифровой гигиены. Не кликайте подозрительные ссылки. Не оставляйте свои персональные данные на сомнительных ресурсах. Обращайте внимание на доменное имя и интерфейс ресурса. Не поленитесь проверить, как выглядит официальный сайт. Поставьте последние обновления операционной системы. Помните, что антивирус не спасает.