Накануне майских праздников Group-IB выявила фишинговую атаку на россиян: мошенники создали сеть фальшивых страниц по лже-продаже электронных билетов на поезд „Сапсан„, нацеленных на кражу денежных средств и платежных данных пользователей.

В схеме мошенничества был использован классический сценарий: в поисках доступных билетов на «Сапсан» жертва, привлеченная рекламой, попадала на сайт мошенников. При клике на рекламное объявление осуществлялся переход на фишинговые сайты. Все они были созданы с помощью IFrame — легитимного компонента HTML, который позволяет встраивать на свой веб-ресурс контент стороннего сайта. Желая приобрести билет онлайн, человек вводил данные банковской карты, в результате терял и деньги, и данные «пластика».

По аналогичной схеме действует мошенничество с продажей авиабилетов. Чтобы ввести людей в заблуждение, интернет-аферисты часто используют бренды известных авиаперевозчиков и агрегаторов по продаже билетов и туров. Сделанные как под копирку липовые сайты не только незаконно используют логотипы и бренды известных авиакомпаний и турагентств, но и похищают у незадачливых путешественников деньги. К преступникам также попадают данные банковской карты, которые они могут использовать для покупок в Интернете.

Сама схема довольно примитивная: после выбора направления и даты, агрегатор предлагает приобрести билеты online - пользователь вводит в форму данные своей банковской карты и теряет деньги. Например, перелет из Москвы в Сочи предлагают за 3700 руб, в Симферополь - от 4200 руб, в Санкт-Петербург от 2900 руб. Продвижение фейковых сервисов главным образом происходит через спам и рекламу.

Целевая аудитория для мошенников — пользователи смартфонов, в большинстве случаев фишинговые сайты открываются только с мобильных платформ. Некоторые из ресурсов были созданы ещё до карантина, но из-за пандемии эти сайты были активированы только тогда, когда начали открываться границы.

Для того, чтобы не стать жертвой мошенников, необходимо соблюдать правила цифровой гигиены при приобретении товаров и услуг в Интернете.

Мы рекомендуем при планировании поездки внимательно отнестись к выбору ресурса для покупки билетов или брони номеров:

— Совершайте покупки только на официальных сайтах. Не верьте "фантастическим скидкам", "акциям" и "розыгрышам".
— Обязательно проверяйте доменное имя ресурса, на котором находитесь, если оно отличается от оригинального или просто кажется вам подозрительным - не стоит продолжать пользоваться подобным ресурсом;
— Проверьте, когда был создан ресурс. Если сайту пара месяцев — с большой долей вероятности он мошеннический.

Не стоит совершать онлайн-покупки по предоплате на непроверенных сайтах. Для покупок в интернете следует завести отдельную банковскую карту или использовать ее виртуальный аналог.

Group-IB рекомендует не переходить по ссылкам, присланным в подозрительных сообщениях электронной почты, соцсетях и мессенджерах, особенно если в них эксплуатируются темы подарков, льгот, выигрышей, снижения цен и др.

Не стоит загружать вложенные файлы из сообщений, которые не запрашивались пользователем. Необходимо внимательно изучить адрес сайта (доменное имя), на который произошла переадресация. В большинстве случаев оно отличается от оригинального домена (например, в описываемой мошеннической схеме использовано доменное имя sapsan.pw, а также более сложные комбинации).

Обновляйте браузер до последней версии. Домен, на котором планируется покупка, важно проверить, используя для этого сайты tcinet.ru или whois.com: "возраст" сайта может быть признаком мошенничества. Как правило, фейковые сайты живут несколько дней.