Компания Group-IB обнаружила более 16 000 мошеннических ресурсов, на которых любителям футбола предлагали билеты на матчи чемпионата мира в Катаре, а также одежду и сувениры с официальной символикой FIFA 2022. Как удалось выяснить Group-IB, ещё более 60 таких ресурсов нацелены на российских болельщиков — под видом розыгрыша призов на фейковой странице трансляций футбольных матчей у зрителей похищали деньги и данные банковских карт.
Ловушка с трансляцией
В разгар крупнейшего футбольного события в Катаре специалисты Центра реагирования на инциденты информационной безопасности Group-IB — СERT-GIB (24/7) обнаружили в Рунете активную сеть из 66 ресурсов, которые под видом прямых трансляций c матчей, перенаправляли пользователей на скаммерские и фишинговые сайты.
Ранее владелец этой сети под ником Kinohoot использовал аналогичную схему во время Летних Олимпийских игр в Токио 2020-го года и зимних Олимпийских игр в Пекине двумя годами позже. За несколько лет наблюдения за его активностью, Group-IB зафиксировала 382 домена, зарегистрированных злоумышленником под различные схемы «развода», связанные со спортивными событиями.
Рис 1. Пример ссылок на фейковые трансляции
Как выяснили эксперты компании, анонсы прямых трансляций мошенник по-прежнему размещает на взломанных страничках легальных сайтов, например, университетов.
Схема обмана тоже не изменилась: на мошенническом сайте болельщикам предлагается поучаствовать в розыгрыше бесплатного доступа к трансляциям, открыв одну из 12 «коробочек», высвечивающихся на экране. Пользователю дается три попытки, чтобы выбрать коробку с денежным призом в размере $10 до $10 000. После двух неудачных попыток — третья всегда оказывается удачной.
Далее «победителя» по классическому сценарию просят оплатить небольшую «комиссию» за конвертацию — 300-500 рублей, для чего ему приходится вводить данные банковской карты. В итоге трансляция так и не начинается, а жертва теряет и деньги, и данные карты.
Рис 2. Сообщение о розыгрыше на фишинговом сайте
«Чтобы избежать блокировки сразу всех своих доменов, преступники оставляют активными только несколько сайтов, а остальные находятся в «спящем режиме», — объясняет Глеб Мартьянов, главный эксперт Центра реагирования на инциденты информационной безопасности Group-IB (CERT-GIB, 24/7). — Такие ресурсы могут быть запущены в считанные минуты в любой момент, при этом обнаружить и заблокировать их до активации достаточно сложно. Именно поэтому мы рекомендуем футбольным болельщикам быть бдительными и следовать элементарным правилам кибергигиены: не переходить по сомнительным ссылкам, проверять сайты, где вводите данные, и, разумеется, не оплачивать своей банковской картой покупки и услуги на незнакомых ресурсах».
Билет в лужу
В целом, решение Group-IB Digital Risk Protection обнаружило более 16 000 фейковых ресурсов, использующих тему чемпионата мира по футболу FIFA 2022 в Катаре, чтобы украсть данные и деньги любителей футбола.
Кроме фейковых трансляций, специалисты Group-IB выделили 4 основных мошеннических сценария, которые преступники используют во время мундиаля. Например, мошенники массово регистрировали фейковые интернет-магазины на английском и арабских языках, где предлагали болельщикам приобрести фирменные футболки национальных сборных-участниц турнира, сувениры или билеты на матч.
Рис 3. Фишинговый сайт по продаже билетов на русском языке
После того как жертва вводила данные своей банковской карты, они оказывались в руках у преступников, а деньги списывались. В других сценариях злоумышленники предлагали заполнить анкету для получения ценного приза или трудоустройства в качестве волонтера на период чемпионата — опрос также оказывался ловушкой для кражи денег и персональных данных.
Чтобы защитить футбольных болельщиков от атак киберпреступников, Group-IB поделилась обнаруженными ресурсами с представителями Интерпола и группой реагирования на компьютерные инциденты Катара (Q-CERT).