Обнаружены фейковые сайты по продаже билетов на «Сапсан»

Сеть фальшивых страниц по продаже электронных билетов на поезд «Сапсан» начала активно работать в апреле, перед майскими праздниками. К середине месяца насчитывалось 13 уникальных фишинговых доменов.

Как выяснили специалисты Group-IB, большинство фальшивых ресурсов открывались на мобильных устройствах, однако несколько работали в браузерах компьютеров.

С помощью рекламы фишинговую кампанию «раскачивали» до первых строк в поисковой выдаче в ответ на запрос «билет на сапсан» и прочие подобные. Рекламные объявления содержали веб-адреса, не связанные лексически с «Сапсаном». При активации такой ссылки осуществлялся переход на фишинговый сайт.

Эксперты Group-IB отмечают, большая часть систем защиты бессильна против всей схемы, поскольку ссылка в рекламном объявлении и адрес фишингового домена не связаны с используемым в атаке брендом. То есть даже если ресурс, на котором располагается конечный фишинг, заблокируют, мошенники просто перенаправят на другой домен, не отключая рекламу.

Ярослав Каргалев (заместитель руководителя Центра круглосуточного реагирования на инциденты информационной безопасности CERT-GIB) отметил, мошенники в преддверии майских праздников развили еще более бурную деятельность, начали встраиваться в новостную повестку и активно применять методы социальной инженерии для привлечения жертв. Специалист рассказал, совместная с РЖД работа по блокировке вредоносных ресурсов продолжается.

В качестве защитных мер Group-IB рекомендует не переходить по ссылкам, которые пришли в подозрительном письме электронной почты, в соц. сетях и мессенджерах.  Особенно это касается сообщений с упоминанием льгот, выигрышей, подарков, снижения цен и других подобных «акций». Кроме того, не нужно загружать вложенные файлы из сообщений, которые не запрашивались пользователем.