Фейковые бренды авиакомпаний рассылают вирусы

Group-IB зафиксировала масштабную мошенническую атаку с использованием брендов крупнейших международных компаний: Emirates, Lufthansa, El Al Israel Airlines, SPAR, Virgin America, Delta Air Lines, Air-France, Aeroflot, сообщает Вести.

По данным Threat Intelligence, входящей в систему раннего предупреждения киберугроз Group-IB, злоумышленники зарегистрировали 95 фейковых сайтов, использующих названия 19 известных брендов. Первыми удару подверглись авиакомпаний. Это неслучайно, ведь май и июнь — начало сезона массовых отпусков. В списке также есть производители luxury-брендов, например Rolex.

По данным Group-IB, первые сайты злоумышленники начали регистрировать в конце марта 2017 г. Авторы атаки в первую очередь нацелены не на российских пользователей: для продвижения использован Facebook, большинство использованных брендов принадлежат международным компаниям, сайты зарегистрированы на иностранных граждан, регистратор — в США. Group-IB предупредила клиентов об угрозах и оперативно начала закрывать фейковые сайты.

Как работает мошенническая схема: "#Emirates (как вариант - Virgin America, Lufthansa, Aeroflot) дарит 2 билета" — такой пост за несколько последних дней стал популярным в Facebook. Мошенники, так же как и маркетологи, любят использовать для привлечения внимания подарки, розыгрыши и "специальные акции". Успех атаки обеспечен, если в распространении ссылки поучаствуют "друзья" пользователя в соцсетях.

Когда вы кликаете по ссылке в "Фейсбуке" от ваших друзей - попадаете на сайт с доменным именем типа "эмираты-бесплатно-2-билета-ком-абракадабра-точка-ком", что уже должно настораживать, пишут эксперты Group-IB. Чтобы усыпить бдительность, злоумышленники сознательно создают адреса, использующее название известных брендов. Эта технология называется cпуфинг (англ. spoofing – обман, мистификация).

На фейковом сайте посетителю предлагается ответить на несколько несложных вопросов. Например, "Вы действительно хотите получить 2 бесплатных билета от Emirates?" и "Подтвердите, что вы совершеннолетний(ая)". Этот прием, известный как "цыганский гипноз", — положительный ответ на заданный вопрос психологически вызывает доверие.

Затем доверчивого клиента попросят оставить свои данные: имя, электронную почту, телефон, дату рождения, адрес. После этого появится сообщение "Поздравляем, вы выиграли два билета!". Чтобы их "получить", необходимо "лайкнуть" страницу, "расшарить" пост среди своих друзей на странице. Таким образом вы невольно вовлечете в мошенническую схему ваших друзей.

Специалисты отдела расследований Group-IB выяснили, что эта схема использовалась для нагона трафика на сайты клиентов американской компании, которая предоставляет пользователям услуги по продвижению и монетизации интернет- и мобильных приложений. Использовал эту схему 28-летний житель Исламабада. В 2013 г. он планировал запустить свою рекламную сеть, но потерпел неудачу. После этого он решил провести кампанию c фальшивым розыгрышем бесплатных билетов для генерации трафика на рекламные площадки. Первые сайты были зарегистрированы в конце марта. Акция ориентирована на иностранных пользователей: для продвижения использован Facebook, большинство жертв — международные бренды.

Опасность заключается в том, что эту схему, технически модифицировав, могут использовать хакеры для атак на устройства. Например, перенаправляя по ссылке на вредоносную программу, делают возможными следующие варианты:

— если вы пользуетесь онлайн-банком через мобильное устройство, то на него могут "подсадить" вредонос, который будет красть деньги; даже если вы не используете телефон как электронный кошелек, вас могут подписать на платные сервисы, ведь вы сами вводите номер телефона и (не глядя) принимаете предложенные условия;

— если ваш компьютер находится в корпоративной сети, то через него могут заразить всю сеть организации, украсть деньги или информацию;

— ваш компьютер будет подключен к ботнету для проведения DDOS-атак;

— ваш компьютер будет использован для майнинга биткоинов, для хранения запрещенных материалов (например, не совсем законной порнографии), для сокрытия следов преступлений (например как proxy-сервер); совсем необязательно, что этим будут заниматься одни и те же люди — доступ к вашему компьютеру может быть продан на черном рынке за $1-2;

— устройство будет просканировано на соответствие определенным признакам (например, файлы 1С, баз данных и др.), и рано или поздно у вас украдут информацию;

— если будет заражен телефон, то, кроме всего вышеперечисленного, у вас украдут переписку в мессенджерах, а также все фотографии и заметки;

— если среди фотографий окажутся пикантные, вас начнут шантажировать или требовать выкуп;

— если вы состоятельный или обличенный властью человек (а это можно понять, проанализировав содержимое телефона), доступ к вашему устройству будет продан на черном рынке хакерам, и вот тогда начнутся настоящие проблемы — шпионаж, прослушка, конкурентная разведка, конкурентная борьба, сливы в СМИ и др., причем вы узнаете об этом постфактум.

"Если вам есть что терять - меняйте подход к кибербезопасности. Главное оружие против злоумышленников – знания. Проведите тренинг для сотрудников и членов семьи, задайте правильные вопросы своему знакомому айтишнику, сделайте аудит систем. Цифровая беспечность - ходовой товар на черном рынке, и объем этого рынка сегодня - миллиарды долларов", - сказал директор по работе с частными клиентами Group-IB Руслан Юсуфов.