05.06.2017
Нереальный рейс
Мошенники скомпрометировали бренды международных авиакомпаний. Фейковые ссылки распространяют ваши друзья в Facebook
Group-IB зафиксировала масштабную мошенническую вирусную рассылку с использованием брендов крупнейших международных компаний: Emirates, Lufthansa, El Al Israel Airlines, SPAR, Virgin America, Delta Air Lines, Air-France, Rolex, Aeroflot. По данным Threat Intelligence, входящей в систему раннего предупреждения киберугроз Group-IB, злоумышленники зарегистрировали 95 фейковых сайтов, использующих названия 19 известных брендов, для нагона рекламного трафика. Первыми под ударом оказались авиакомпании и это не случайно, ведь май и июнь — начало сезона массовых отпусков. Group-IB предупредила клиентов об угрозах и оперативно начала закрывать фейковые сайты.
Как работает мошенническая схема:
1. «Emirates (как вариант Virgin America, Lufthansa, Aeroflot) дарит 2 билета» — этот пост об акции невиданной щедрости за несколько последних дней стал популярным в социальной сети Facebook. Мошенники, так же как и маркетологи, любят использовать для привлечения внимания эффект «халявы» (подарки, розыгрыши и «специальные акции», бесплатный просмотр фильма). Успех атаки обеспечен, если в распространении ссылки участвуют френды пользователя в соцсетях.
2. Когда вы кликаете по ссылке в фейсбуке от ваших друзей и попадаете на сайт типа эмираты-бесплатно-2-билета-ком-абракадабра-точка-ком, это уже должно настораживать. Чтобы усыпить бдительность, злоумышленники сознательно создают адреса, использующее название известных брендов. Эта технология называется «cпуфинг» (англ. spoofing – обман, мистификация).
1. «Emirates (как вариант Virgin America, Lufthansa, Aeroflot) дарит 2 билета» — этот пост об акции невиданной щедрости за несколько последних дней стал популярным в социальной сети Facebook. Мошенники, так же как и маркетологи, любят использовать для привлечения внимания эффект «халявы» (подарки, розыгрыши и «специальные акции», бесплатный просмотр фильма). Успех атаки обеспечен, если в распространении ссылки участвуют френды пользователя в соцсетях.
2. Когда вы кликаете по ссылке в фейсбуке от ваших друзей и попадаете на сайт типа эмираты-бесплатно-2-билета-ком-абракадабра-точка-ком, это уже должно настораживать. Чтобы усыпить бдительность, злоумышленники сознательно создают адреса, использующее название известных брендов. Эта технология называется «cпуфинг» (англ. spoofing – обман, мистификация).
Так выглядит фейковый сайт Virgin America, обещающий выигрыш 2 авиабилетов.
3. На фейковом сайте посетителю предлагается ответить на несколько несложных вопросов: «Вы действительно хотите получить 2 бесплатных билета от Emirates?» и «Подтвердите, что вы совершеннолетний(ая)». Это прием, известный как "цыганский гипноз" — положительные ответы на заданные вопросы должны вызвать доверие.
4. После этого вы увидите сообщение "Поздравляем вы выиграли два билета!". Чтобы их получить, необходимо лайкнуть страницу, расшарить пост среди своих друзей на странице. Таким образом вы невольно вовлечете в мошенническую схему ваших друзей.
5. После ответов на вопросы появляется форма, на которой находится несколько ссылок для перехода на другие страницы. При переходе по ссылкам открываются различные рекламные страницы. При переходе по ссылке «Загрузите контент прямо сейчас» открывается страница подписки на платные услуги. В ряде случаев пользователя просят оставить свои данные: имя, электронную почту, телефон, дату рождения, адрес.
4. После этого вы увидите сообщение "Поздравляем вы выиграли два билета!". Чтобы их получить, необходимо лайкнуть страницу, расшарить пост среди своих друзей на странице. Таким образом вы невольно вовлечете в мошенническую схему ваших друзей.
5. После ответов на вопросы появляется форма, на которой находится несколько ссылок для перехода на другие страницы. При переходе по ссылкам открываются различные рекламные страницы. При переходе по ссылке «Загрузите контент прямо сейчас» открывается страница подписки на платные услуги. В ряде случаев пользователя просят оставить свои данные: имя, электронную почту, телефон, дату рождения, адрес.
Аэрофлот предупредил: участие в лотерее может привести к краже ваших персональных данных, денежных средств, хакерским взломам и рассылке спама.Чтобы защитить себя, доверяйте только официальным источникам — информации на нашем сайте www.aeroflot.ru и подлинным сообществам Аэрофлота в социальных сетях.
Чем это опасно
Это разводка. Специалисты отдела расследований Group-IB выяснили, что эта схема использовалась для нагона трафика на сайты клиентов американской компании, которая предоставляет пользователям услуги по продвижению и монетизации интернет и мобильных приложений. Первые сайты были зарегистрированы в конце марта. Акция ориентирована на иностранных пользователей: для продвижения использован Facebook, большинство жертв — международные бренды.
Атака, в первую очередь, нацелена на иностранных пользователей Facebook
Опасность заключается в том, что эту схему, технически модифицировав, могут использовать хакеры для атак на ваши устройства. Например, перенаправляя вас по ссылке на вредоносную программу. Итак, возможны следующие варианты:
— если вы пользуетесь онлайн-банком через мобильное устройство, то на него могут "подсадить" вредонос, который будет красть деньги. Даже если вы не используете телефон, как электронный кошелек, вас могут подписать на платные сервисы — ведь вы сами вводите номер телефона и (не глядя) принимаете предложенные условия;
— если ваш компьютер находится в корпоративной сети, то через него могут заразить всю сеть организации, украсть деньги или информацию;
— ваш компьютер будет подключен к ботнету для проведения DDOS-атак;
— ваш компьютер будет использован для майнинга биткоинов, для хранения запрещенных материалов (например, не совсем законной порнографии), для сокрытия следов преступлений (например, как proxy-сервер); совсем не обязательно, что этим будут заниматься одни и те же люди — доступ к вашему компьютеру может быть продан на черном рынке за 1-2$;
— устройство будет просканировано на соответствие определенным признакам (например, файлы 1С, баз данных и др.) и рано или поздно у вас украдут информацию;
— если будет заражен телефон, то, кроме всего вышеперечисленного, у вас украдут переписку в мессенджерах, а также все фотографии и заметки;
— если среди фотографий окажутся пикантные, вас начнут шантажировать или требовать выкуп;
— если вы состоятельный или обличенный властью человек (а это можно понять, проанализировав содержимое телефона), доступ к вашему устройству будет продан на черном рынке хакерам, и вот тогда начнутся настоящие проблемы — шпионаж, прослушка, конкурентная разведка, конкурентная борьба, сливы в сми и др. Причем, вы узнаете об этом постфактум.
— если вы пользуетесь онлайн-банком через мобильное устройство, то на него могут "подсадить" вредонос, который будет красть деньги. Даже если вы не используете телефон, как электронный кошелек, вас могут подписать на платные сервисы — ведь вы сами вводите номер телефона и (не глядя) принимаете предложенные условия;
— если ваш компьютер находится в корпоративной сети, то через него могут заразить всю сеть организации, украсть деньги или информацию;
— ваш компьютер будет подключен к ботнету для проведения DDOS-атак;
— ваш компьютер будет использован для майнинга биткоинов, для хранения запрещенных материалов (например, не совсем законной порнографии), для сокрытия следов преступлений (например, как proxy-сервер); совсем не обязательно, что этим будут заниматься одни и те же люди — доступ к вашему компьютеру может быть продан на черном рынке за 1-2$;
— устройство будет просканировано на соответствие определенным признакам (например, файлы 1С, баз данных и др.) и рано или поздно у вас украдут информацию;
— если будет заражен телефон, то, кроме всего вышеперечисленного, у вас украдут переписку в мессенджерах, а также все фотографии и заметки;
— если среди фотографий окажутся пикантные, вас начнут шантажировать или требовать выкуп;
— если вы состоятельный или обличенный властью человек (а это можно понять, проанализировав содержимое телефона), доступ к вашему устройству будет продан на черном рынке хакерам, и вот тогда начнутся настоящие проблемы — шпионаж, прослушка, конкурентная разведка, конкурентная борьба, сливы в сми и др. Причем, вы узнаете об этом постфактум.
Среди жертв атаки не только авиакомпании, но и luxury-бренды
Как не стать жертвой мошенников
Соблюдайте правила цифровой гигиены. Не кликайте подозрительные ссылки. Не оставляйте свои персональные данные на сомнительных ресурсах. Обращайте внимание на доменное имя и интерфейс ресурса. Не поленитесь проверить, как выглядит официальный сайт. Например, официальный сайт Аэрофлота – www.aeroflot.ru
Антивирус не спасает, используйте инновационные технологии. Поставьте последние обновления операционной системы.
Существует ресурс настоящийбилет.рф, на котором можно проверить продавца перед покупкой. Присланные покупателям ссылки проверяют круглосуточно — уже составлена база из 70 000 легальных ресурсов. Если ресурс признан поддельным, хостинг-провайдеры его блокируют в течение 12 часов, а информацию о продаже поддельных билетов отправляют в полицию. За это время было заблокировало более 500 подозрительных страниц.
И самое важное. Если вам есть, что терять, нужно менять подход к кибербезопасности. Проведите тренинг для сотрудников, проведите тренинг для семьи, сделайте аудит систем, задайте правильные вопросы своему айтишнику, поставьте специальное оборудование для борьбы с целевыми атаками. Но самое главное — поменяйте отношение к информационной безопасности — угроза реальна. Ваша беспечность — ходовой товар на черном рынке, и объем этого рынка — миллиарды и миллиарды долларов.
Если материал вам понравился, расскажите о нём друзьям!
Другие интересные статьи:
Узнавайте первыми
о новейших киберугрозах и расследованиях
*Нажимая «Подписаться», вы соглашаетесь на получение новостей компании,
защиту и обработку своих персональных данных в соответствии с ФЗ РФ
защиту и обработку своих персональных данных в соответствии с ФЗ РФ
Предотвращение
Реагирование
Расследование
Продукты
Threat Intelligence & Attribution
Threat Hunting Framework
Fraud Hunting Platform
Digital Risk Protection
Anti-Piracy
Threat Hunting Framework
Fraud Hunting Platform
Digital Risk Protection
Anti-Piracy
Компания
Связаться с нами
Круглосуточная линия +7 495 984-33-64
Электронная почта
info@group-ib.ru
info@group-ib.ru
Адрес офиса
Москва, улица Шарикоподшипниковская, д.1, БЦ «Прогресс Плаза», 9 этаж
Москва, улица Шарикоподшипниковская, д.1, БЦ «Прогресс Плаза», 9 этаж
