Мошенники организовали атаку на россиян, собирающихся на отдых в майские выходные — зафиксирован всплеск фишинговых ресурсов по подбору дешевых авиабилетов. В апреле выявлено 50 таких сайтов, тогда как в марте ни одного, подсчитали для «Известий» в Group-IB. В конце апреля россияне стали активно искать и бронировать билеты на юг — в связи с этим активизировались и преступники, подтвердили «Известиям» агрегаторы авиапредложений. Введенные на фейковом портале данные банковской карты могут использоваться для кражи денег, а персональные сведения рискуют утечь в даркнет.
В ожидании каникул
Вредоносные ресурсы копируют сайты популярных агрегаторов авиабилетов или представляют собой полностью самостоятельные страницы для подбора перелетов, рассказали «Известиям» в компании Group IB, которая специализируется на предотвращении кибератак. Мошеннические порталы распространяются на первой позиции в поисковой выдаче в Яндексе или Google по запросам «купить дешевые авиабилеты».
В апреле Group-IB выявила 50 фишинговых страниц по продаже выгодных авиабилетов. Для сравнения, за весь 2020 год было зафиксировано 56 таких ресурсов, в январе 2021-го — девять, в феврале — пять, в марте — ни одного. В компании констатировали, что пик мошенничеств пришелся на последнюю неделю апреля — после того, как президент России Владимир Путин объявил выходными днями с 1 по 10 мая.
Когда посетитель фейкового сайта вводит данные карты (в том числе CVV-код) для оплаты авиабилетов, деньги направляются на счет злоумышленника, пояснил замруководителя центра круглосуточного реагирования на инциденты информационной безопасности CERT-GIB Ярослав Каргалев. Он добавил, что к преступникам также попадают платежные сведения, которыми они могут воспользоваться для операций в интернете по чужой карте.
Особенность атаки в преддверии майских в том, что в большинстве случаев фишинговые сайты открываются только с мобильных платформ. Таким образом, целевая аудитория для мошенников — пользователи именно таких устройств, у них меньше шансов обнаружить подделку, отметил эксперт.
На платформах-агрегаторах выгодных авиабилетов подтвердили «Известиям» всплеск мошенничеств с фейковыми сайтами, отметив, что злоумышленники традиционно активизируются к сезону отпусков. За последнее время с помощью совместного проекта Aviasales и Роскачества «Настоящийбилет.рф» удалось закрыть более 100 мошеннических ресурсов, уточнил представитель агрегатора. В «Туту.ру» оценили, что фишинговых интернет-страниц, которые пытаются копировать сервис, стало в три–четыре раза больше. С марта число подставных порталов в авиаотрасли увеличилось в два раза по сравнению с зимой, подчеркнул основатель сервиса «Купибилет» Сергей Пирожников.
Сразу после объявления о «длинных» майских праздниках продажи авиабилетов взлетели на 15%, оценил он. В Aviasales в этот период запросы по поиску билетов увеличились в пять раз: перелеты в Сочи стали искать на 72% чаще, в Краснодар — на 70%, в Минводы — на 94%, в Геленджик — на 97%. Представитель «Туту.ру» оценил, что в пятницу, 23 апреля, посещаемость сайта выросла в 2,5 раза: среди тех, кто приобрел железнодорожные и авиабилеты на майские праздники за последние две с половиной недели, более 50% сделали это с 23 по 25 апреля. Кроме того, в пятницу, сразу после появления информации о длинных выходных, упал сайт и мобильное приложение РЖД — в компании тогда объяснили сбой резким ростом числа запросов.
Кража денег и данных
Мошенническая активность в сегменте путешествий началась еще в марте, а в апреле этот тренд продолжает нарастать, подтвердил руководитель отдела развития методов фильтрации контента в «Лаборатории Касперского» Алексей Марченко. За неполный апрель компания заблокировала больше 12,5 тыс. попыток перехода пользователей на фишинговые сайты, связанные с поездками. Кроме авиабилетов, злоумышленники также подделывают сайты гостиниц: только за один день в апреле появилось семь фейковых страниц отелей в Адлере, рассказали в Infosecurity a Softline Company.
В 2019–2020 годах в адрес Роскомнадзора поступило шесть решений судов в отношении ресурсов, содержащих информацию о продаже поддельных авиабилетов (2019 год — одно, 2020 год — пять), сообщили «Известиям» в службе, уточнив, что в апреле 2021-го таких решений не получали.
Разработка фишингового сайта для авиаотрасли может занять от нескольких минут, если шаблон уже готов, до нескольких дней, оценил директор блока экспертных сервисов BI.ZONE (входит в экосистему «Сбера») Евгений Волошин. При этом среднее время на блокировку такого ресурса составляет от 10 до 70 часов, но в крайних случаях может доходить и до нескольких недель.
— Помимо кражи платежных данных злоумышленник может сразу воспользоваться полученными сведениями для перевода средств на свой счет. В такой схеме пользователю приходит сообщение от банка с кодом подтверждения, который он вводит на сайте. Но на самом деле в это же время мошенник использует полученную информацию для проведения транзакции в сервисе перевода средств с карты на карту, — предупредила руководитель группы отдела аналитики информационной безопасности Positive Technologies Екатерина Килюшева.
Обычно при покупке авиабилетов требуется ввести имя, фамилию и номер паспорта. Такие фишинговые сайты могут стать источником небольших баз данных с персональной информацией, которые затем используются для обмана с помощью социальной инженерии, полагает основатель сервиса разведки утечек данных DLBI Ашот Оганесян. По его словам, полученная таким образом информация сможет использоваться для «второго подхода» к жертвам фишинга, когда у них пробуют выманить деньги под предлогом возврата ранее похищенных средств.
Банк России не фиксирует массового увеличения числа фишинговых сайтов по продаже авиабилетов в апреле, сообщили «Известиям» в регуляторе, подчеркнув, что рекомендуют россиянам совершать покупки только на проверенных ресурсах.