Спам и фишинг

Два билета в мышеловке

В минувшие выходные в социальных сетях прошла волна сообщений о бесплатной раздаче авиабилетов крупными авиаперевозчиками. В нее оказались вовлечены пользователи по всему миру: в России использовались бренды «Аэрофлот» и S7 Airlines, пользователи других стран публиковали сообщения с упоминанием Emirates, Air France, Eva Air, Turkish Airlines, Air Asia, Air India и других. Мы не исключаем, что в ближайшее время возникнут подобные публикации с использованием других брендов.

Естественно, никаких акций с раздачей авиабилетов не было. От имени крупнейших авиакомпаний к пользователям обращались мошенники, их целью была подписка жертв на платные услуги. Для этого злоумышленники создали ряд сайтов, на которых пользователя поздравляют с выигрышем двух авиабилетов и просят совершить ряд действий для получения приза. В результате жертва подписывается на платную услугу и распространяет информацию о несуществующий акции в социальной сети.

Два билета в мышеловке

Пример сообщения в социальной сети со ссылкой на мошеннический сайт

Это далеко не первый случай распространения мошеннического контента в социальных сетях руками самих пользователей. Ранее мы рассказывали о поддельной петиции в защиту Суареса, которую распространяли пользователи Facebook, про поддельные благотворительные сборы, а также про «порновирус» . Все эти случаи объединяет одно – угроза распространяется посредством социальных сетей, часто при участии самих пользователей.

Схема атаки

Но давайте вернемся к свежему случаю и рассмотрим его подробнее. Перейдя по ссылке из ленты новостей социальной сети, пользователь оказывается на мошенническом сайте. Мы нашли ряд доменов, принадлежащих злоумышленникам: aeroflot-com.us, aeroflot-ticket.us, qq3mz9.us, emiratesnow.us, emiratesgo.us, com-beforeitsends.us, emirates.iwelltrip.us и многие другие.

Два билета в мышеловке

Два билета в мышеловке

Примеры мошеннический сайтов, использующих известные бренды авиаперевозчиков.

Остановимся на первом из этого списка. На сайте, якобы принадлежащим «Аэрофлоту», сообщается о выигрыше двух бесплатных билетов, для получения которых необходимо ответить на три вопроса.

Два билета в мышеловке

Пример мошеннического сайта с использованием символики «Аэрофлот»

Стоит отметить, что сообщения, предназначенные для русскоязычных пользователей, сформулированы не совсем корректно, а третий вопрос вообще не переведен на русский язык.

Два билета в мышеловке

Пример мошеннического сайта с использованием символики «Аэрофлота», вопрос злоумышленников не переведен на русский язык

Другой пример, показывающий, что мошенники не знакомы с русским языком – сайт, якобы принадлежащий авиакомпании S7 Airlines.

Два билета в мышеловке

На мошенническом сайте с символикой S7 Airlines предлагаемые ответы на вопрос звучат некорректно

После прохождения опроса жертву просят совершить еще два шага. Первое – это разместить информацию об акции на своей странице в социальной сети с комментарием «Thanks #Aeroflot!». Второе – нажать «Like». Стоит отметить, что на страницу подгружаются «комментарии» якобы из социальной сети Facebook, от пользователей, которые уже выиграли билеты. Проверка показала, что сообщения эти на самом деле поддельные. Мы даже можем оставить свой комментарий, однако после перезагрузки страницы он пропадет. Все это направлено на повышение уровня доверия жертвы в легитимности страницы.

Два билета в мышеловке

Обратим внимание, что многие комментарии на разных языках размещены от имени одних и тех же людей, аналогичны по содержанию и, скорее всего, переведены с помощью автоматического переводчика.

Два билета в мышеловке

После совершения всех указанных действий сайт перенаправляет нас на следующие варианты страницы:

Два билета в мышеловке

Для получения билетов, а также непонятно откуда взявшегося нового смартфона, нужно ввести свой номер мобильного телефона на сайте. После этого пользователь оказывается подписан на платную услугу стоимостью 30 рублей в сутки.

Два билета в мышеловке

Также мы заметили, что при повторном прохождении всей цепочки действий сайт ведет себя по-разному, иногда отправляя пользователя на разные страницы после завершения опроса. Не исключено, что в некоторых случаях пользователя также побуждали загрузить вредоносный контент.

Количество жертв и география

На всех мошеннических ресурсах данной схемы размещены ссылки на внешние сервисы, собирающие статистику посещений сайта. Эти данные показывают, что атака распространилась очень широко и направлена, в основном, на пользователей смартфонов. Для примера вот впечатляющая статистика только по двум из найденных нами доменов:

Два билета в мышеловке

Статистика по сайту aeroflot-ticket.us

Два билета в мышеловке

Статистика по сайту aeroflot-ticket.us

К сожалению, множество пользователей сети клюнули на приманку мошенников. Они понадеялись на удачу и не увидели многочисленных признаков мошенничества, а в результате распространяли потенциально опасный контент среди своих друзей в социальной сети.

Два билета в мышеловке

Примеры размещения постов с ссылками на мошеннические сайты

Таким образом простой мошеннический веб-ресурс, которых в интернете множество, обрел огромную популярность в считанные часы.

Для распространения информации по всему миру, возможности социальных сетей просто безграничны! И мошенники это подтверждают.

Два билета в мышеловке

Примеры размещения постов с ссылками на мошеннические сайты

Напоследок несколько советов:

  1. Стоит со здравым скептицизмом относится к подобным «акциям». Прежде чем переходить по подозрительным ссылкам и вводить персональные данные на предлагаемом веб-ресурсе, следует связаться с представителями компании, от имени которой идет акция, и уточнить информацию.
  2. Внимательное изучение адресной строки веб-ресурса поможет распознать мошенничество – стоит проверить, принадлежит ли домен указанной на сайте компании. В этом помогут сервисы, предоставляющие whois-данные о доменах.
  3. Подходите ответственно к размещению контента в вашем аккаунте в социальной сети. Не распространяйте информацию, в подлинности которой не уверены, чтобы не стать частью мошеннической схемы.
  4. Используйте защитные решения уровня Internet Security и выше с защитой от фишинга. Они заблокируют попытку перехода на мошеннический сайт.

Два билета в мышеловке

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике