РУССКИЙ
РУССКИЙ
ENGLISH
26.07.2021

Scamopedia: фейковые билеты на самолеты и поезда

В 2020-2021 гг из-за пандемии и закрытых границ мошенники довольно поздно стали продвигать свою любимую билетную тему: торговать авиа и жд-билетами, номерами в отелях на отечественных и зарубежных курортах. Впрочем, стоило COVID-19 сдать свои позиции — и в мае-июле 2021 года число поисковых запросов со словом «авиабилеты» по сравнению с предыдущими месяцами выросло практически в два раза.

Перед праздниками, каникулами и сезоном отпусков злоумышленники увеличивают свою активность, встраиваясь в новостную повестку и активно используя социальную инженерию для привлечения потенциальных жертв.
Схема №1. Билеты на "Сапсан"
Накануне майских праздников Group-IB выявила фишинговую атаку на россиян: мошенники создали сеть фальшивых страниц по лже-продаже электронных билетов на поезд „Сапсан„, нацеленных на кражу денежных средств и платежных данных пользователей.

В схеме мошенничества был использован классический сценарий: в поисках доступных билетов на «Сапсан» жертва, привлеченная рекламой, попадала на сайт мошенников. При клике на рекламное объявление осуществлялся переход на фишинговые сайты. Все они были созданы с помощью IFrame — легитимного компонента HTML, который позволяет встраивать на свой веб-ресурс контент стороннего сайта. Желая приобрести билет онлайн, человек вводил данные банковской карты, в результате терял и деньги, и данные «пластика».

Схема №2. Авиабилеты
По аналогичной схеме действует мошенничество с продажей авиабилетов. Чтобы ввести людей в заблуждение, интернет-аферисты часто используют бренды известных авиаперевозчиков и агрегаторов по продаже билетов и туров. Сделанные как под копирку липовые сайты не только незаконно используют логотипы и бренды известных авиакомпаний и турагентств, но и похищают у незадачливых путешественников деньги. К преступникам также попадают данные банковской карты, которые они могут использовать для покупок в Интернете.

Сама схема довольно примитивная: после выбора направления и даты, агрегатор предлагает приобрести билеты online - пользователь вводит в форму данные своей банковской карты и теряет деньги. Например, перелет из Москвы в Сочи предлагают за 3700 руб, в Симферополь - от 4200 руб, в Санкт-Петербург от 2900 руб. Продвижение фейковых сервисов главным образом происходит через спам и рекламу.

Целевая аудитория для мошенников — пользователи смартфонов, в большинстве случаев фишинговые сайты открываются только с мобильных платформ. Некоторые из ресурсов были созданы ещё до карантина, но из-за пандемии эти сайты были активированы только тогда, когда начали открываться границы.
В апреле 2021 года Group-IB выявила 50 фишинговых сайтов по продаже авиабилетов по низким ценам. Для сравнения, за весь 2020 год было зафиксировано 56 таких ресурсов, в январе 2021-го — 9, в феврале — 5, в марте — ни одного. Пик мошенничеств пришелся на последнюю неделю апреля — после того, как Владимир Путин объявил выходными дни с 1 по 10 мая. Вредоносные ресурсы зачастую находились на первой позиции в поисковой выдаче в Яндексе/Google по запросу "купить авиабилеты", "дешевые билеты"...
Выводы и рекомендации
Для того, чтобы не стать жертвой мошенников, необходимо соблюдать правила цифровой гигиены при приобретении товаров и услуг в Интернете.

Мы рекомендуем при планировании поездки внимательно отнестись к выбору ресурса для покупки билетов или брони номеров:

— Совершайте покупки только на официальных сайтах. Не верьте "фантастическим скидкам", "акциям" и "розыгрышам".
— Обязательно проверяйте доменное имя ресурса, на котором находитесь, если оно отличается от оригинального или просто кажется вам подозрительным - не стоит продолжать пользоваться подобным ресурсом;
— Проверьте, когда был создан ресурс. Если сайту пара месяцев — с большой долей вероятности он мошеннический.

Не стоит совершать онлайн-покупки по предоплате на непроверенных сайтах. Для покупок в интернете следует завести отдельную банковскую карту или использовать ее виртуальный аналог.

Group-IB рекомендует не переходить по ссылкам, присланным в подозрительных сообщениях электронной почты, соцсетях и мессенджерах, особенно если в них эксплуатируются темы подарков, льгот, выигрышей, снижения цен и др.

Не стоит загружать вложенные файлы из сообщений, которые не запрашивались пользователем. Необходимо внимательно изучить адрес сайта (доменное имя), на который произошла переадресация. В большинстве случаев оно отличается от оригинального домена (например, в описываемой мошеннической схеме использовано доменное имя sapsan.pw, а также более сложные комбинации).

Обновляйте браузер до последней версии. Домен, на котором планируется покупка, важно проверить, используя для этого сайты tcinet.ru или whois.com: "возраст" сайта может быть признаком мошенничества. Как правило, фейковые сайты живут несколько дней.