Group-IB зафиксировала масштабную мошенническую атаку с использованием брендов крупнейших международных компаний: Emirates, Lufthansa, El Al Israel Airlines, SPAR, Virgin America, Delta Air Lines, Air-France, Aeroflot.

По данным Threat Intelligence, входящей в систему раннего предупреждения киберугроз Group-IB, злоумышленники зарегистрировали 95 фейковых сайтов, использующих названия 19 известных брендов. Первыми удару подверглись авиакомпаний. Это не случайно, ведь май и июнь — начало сезона массовых отпусков. В списке также есть производители luxury-брендов, например, Rolex.

По данным Group-IB, первые сайты злоумышленники начали регистрировать в конце марта 2017 года. Авторы атаки в первую очередь нацелены не на российских пользователей: для продвижения использован Facebook, большинство использованных брендов принадлежат международным компаниям, сайты зарегистрированы на иностранных граждан, регистратор — в США. Group-IB предупредила клиентов об угрозах и оперативно начала закрывать фейковые сайты.

Как работает мошенническая схема:

1. «#Emirates (как вариант - Virgin America, Lufthansa, Aeroflot) дарит 2 билета»  — такой пост за несколько последних дней стал популярным в Facebook. Мошенники, так же как и маркетологи, любят использовать для привлечения внимания подарки, розыгрыши и «специальные акции». Успех атаки обеспечен, если в распространении ссылки поучаствуют «друзья» пользователя в соцсетях.
2. Когда вы кликаете по ссылке в фейсбуке от ваших друзей - попадаете на сайт с доменным именем типа «эмираты-бесплатно-2-билета-ком-абракадабра-точка-ком», что уже должно настораживать. Чтобы усыпить бдительность, злоумышленники сознательно создают адреса, использующее название известных брендов. Эта технология называется «cпуфинг» (англ. spoofing – обман, мистификация).  
3. На фейковом сайте посетителю предлагается ответить на несколько несложных вопросов. Например, «Вы действительно хотите получить 2 бесплатных билета от Emirates?» и «Подтвердите, что вы совершеннолетний(ая)». Этот прием, известный как «цыганский гипноз» — положительный ответ на заданный вопрос психологически вызывает доверие.
4. Затем вас попросят оставить свои данные: имя, электронную почту, телефон, дату рождения, адрес.
5. После этого вы увидите сообщение «Поздравляем, вы выиграли два билета!». Чтобы их «получить», необходимо «лайкнуть» страницу,  «расшарить» пост среди своих друзей на странице. Таким образом вы невольно вовлечете в мошенническую схему ваших друзей.

Специалисты отдела расследований Group-IB выяснили, что эта схема использовалась для нагона трафика на сайты клиентов американской компании, которая предоставляет пользователям услуги по продвижению и монетизации интернет и мобильных приложений. Использовал эту схему 28-летний житель Исламабада. В 2013 году он планировал запустить свою рекламную сеть, но потерпел неудачу. После этого он решил провести кампанию c фальшивым розыгрышем бесплатных билетов для генерации трафика на рекламные площадки. Первые сайты были зарегистрированы в конце марта. Акция ориентирована на иностранных пользователей: для продвижения использован Facebook, большинство жертв — международные бренды.

«Если вам есть, что терять - меняйте подход к кибербезопасности. Главное оружие против злоумышленников – знания. Проведите тренинг для сотрудников и членов семьи, задайте правильные вопросы своему знакомому айтишнику, сделайте аудит систем. Цифровая беспечность - ходовой товар на черном рынке, и объем этого рынка сегодня - миллиарды долларов» - сказал Директор по работе с частными клиентами Group-IB Руслан Юсуфов.