Кубок фишинга: мошенники запустили тысячи фейковых сайтов к чемпионату мира 2022 по футболу в Катаре

Компания Group-IB, один из лидеров в сфере кибербезопасности, обнаружила более 16 000 мошеннических ресурсов, на которых любителям футбола предлагали билеты на матчи чемпионата мира в Катаре, а также одежду и сувениры с официальной символикой FIFA 2022. Как удалось выяснить Group-IB, ещё более 60 таких ресурсов нацелены на российских болельщиков — под видом розыгрыша призов на фейковой странице трансляций футбольных матчей у зрителей похищали деньги и данные банковских карт.

Ловушка с трансляцией

В разгар крупнейшего футбольного события в Катаре специалисты Центра реагирования на инциденты информационной безопасности Group-IB — СERT-GIB (24/7) обнаружили в Рунете активную сеть из 66 ресурсов, которые под видом прямых трансляций c матчей, перенаправляли пользователей на скаммерские и фишинговые сайты.

Ранее владелец этой сети под ником Kinohoot использовал аналогичную схему во время Летних Олимпийских игр в Токио 2020-го года и зимних Олимпийских игр в Пекине двумя годами позже. За несколько лет наблюдения за его активностью, Group-IB зафиксировала 382 домена, зарегистрированных злоумышленником под различные схемы «развода», связанные со спортивными событиями.

Пример ссылок на фейковые трансляции

Рис 1. Пример ссылок на фейковые трансляции

Как выяснили эксперты компании, анонсы прямых трансляций мошенник по-прежнему размещает на взломанных страничках легальных сайтов, например, университетов.

Схема обмана тоже не изменилась: на мошенническом сайте болельщикам предлагается поучаствовать в розыгрыше бесплатного доступа к трансляциям, открыв одну из 12 «коробочек», высвечивающихся на экране. Пользователю дается три попытки, чтобы выбрать коробку с денежным призом в размере $10 до $10 000. После двух неудачных попыток — третья всегда оказывается удачной.

Далее «победителя» по классическому сценарию просят оплатить небольшую «комиссию» за конвертацию — 300-500 рублей, для чего ему приходится вводить данные банковской карты. В итоге трансляция так и не начинается, а жертва теряет и деньги, и данные карты.

Сообщение о розыгрыше на фишинговом сайте

Рис 2. Сообщение о розыгрыше на фишинговом сайте

«Чтобы избежать блокировки сразу всех своих доменов, преступники оставляют активными только несколько сайтов, а остальные находятся в «спящем режиме», — объясняет Глеб Мартьянов, главный эксперт Центра реагирования на инциденты информационной безопасности Group-IB (CERT-GIB, 24/7). — Такие ресурсы могут быть запущены в считанные минуты в любой момент, при этом обнаружить и заблокировать их до активации достаточно сложно. Именно поэтому мы рекомендуем футбольным болельщикам быть бдительными и следовать элементарным правилам кибергигиены: не переходить по сомнительным ссылкам, проверять сайты, где вводите данные, и, разумеется, не оплачивать своей банковской картой покупки и услуги на незнакомых ресурсах».

Билет в лужу

В целом, решение Group-IB Digital Risk Protection обнаружило более 16 000 фейковых ресурсов, использующих тему чемпионата мира по футболу FIFA 2022 в Катаре, чтобы украсть данные и деньги любителей футбола.

Кроме фейковых трансляций, специалисты Group-IB выделили 4 основных мошеннических сценария, которые преступники используют во время мундиаля. Например, мошенники массово регистрировали фейковые интернет-магазины на английском и арабских языках, где предлагали болельщикам приобрести фирменные футболки национальных сборных-участниц турнира, сувениры или билеты на матч.

Фишинговый сайт по продаже билетов на русском языке

Рис 3. Фишинговый сайт по продаже билетов на русском языке

После того как жертва вводила данные своей банковской карты, они оказывались в руках у преступников, а деньги списывались. В других сценариях злоумышленники предлагали заполнить анкету для получения ценного приза или трудоустройства в качестве волонтера на период чемпионата — опрос также оказывался ловушкой для кражи денег и персональных данных.

Чтобы защитить футбольных болельщиков от атак киберпреступников, Group-IB поделилась обнаруженными ресурсами с представителями Интерпола и группой реагирования на компьютерные инциденты Катара (Q-CERT).

О компании:

Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества, исследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети. Штаб-квартира регионального подразделения Group-IB (Россия и СНГ) расположена в Москве. Компания является резидентом «Сколково» и Иннополиса.

Международные Центры исследования киберугроз Group-IB находятся в Азиатско-Тихоокеанском регионе (Сингапур), на Ближнем Востоке (Дубай), в Европе (Амстердам).

В основе технологического лидерства Group-IB — 19-летний практический опыт исследований киберпреступлений по всему миру и более 70 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики и круглосуточном центре оперативного реагирования CERT-GIB. Решения Group-IB признаны ведущими аналитическими агентствами Forrester, Gartner, IDC и только в нынешнем году получили 8 золотых наград в рамках Cybersecurity Excellence Awards.

О технологиях Group-IB

Unified Risk Platform — единая платформа решений и сервисов Group-IB для защиты от киберрисков, связанных с целевыми атаками, утечками данных, мошенничеством, фишингом, нелегальным использованием бренда. Платформа объединяет возможности защиты внутренней инфраструктуры компании, ее внешнего периметра, ее интеллектуальной собственности (бренда), а также защиту предоставляемых ею сервисов от мошенничества, направленного на ее клиентов.

В Group-IB Unified Risk Platform входят:

Group-IB Threat Intelligence — это комплексное решение для исследования и атрибуции кибератак, содержащее структурированные данные о тактиках, инструментах и активности злоумышленников с возможностью персонализации под конкретную отрасль или компанию. Group-IB TI позволяет выстроить проактивную систему ИБ, ориентированную на защиту активов компании с низким количеством ложных инцидентов.
Решение Group-IB Managed XDR для проактивного поиска и защиты от сложных и неизвестных киберугроз позволяет организациям реагировать на угрозы на 20% быстрее. Разработка уже получила признание ведущего европейского аналитического агентства KuppingerCole Analysts AG, а компания Group-IB вошла в число лидеров рынка в категориях «Product Leader» и «Innovation Leader».
Технологии Group-IB по защите от онлайн-мошенничества в интернет-банкинге и сервисах электронной коммерции Group-IB Fraud Protection получили признание Gartner, агентство присвоило Group-IB статус надежного поставщика в категории «Решения по выявлению онлайн-мошенничества». Выявляют и предотвращают на 20% больше попыток финансового мошенничества.
Решение Digital Risk Protection снижает цифровые риски для брендов и защищает интеллектуальную собственность от мошенничества, пиратства, утечек данных, предоставляя лучшую в своем классе защиту. Согласно оценкам аналитиков, Group-IB DRP обнаруживает пиратский контент в среднем за 30 минут и устраняет 80% нарушений в течение 7 дней. Решение получило престижную премию Innovation Excellence от глобального консалтингового агентство Frost & Sullivan.
Attack Surface Management отслеживает забытые компанией ИТ-активы, незащищенные участки инфраструктуры, некорректно настроенные элементы сети, которые могут использовать атакующие. В рамках Unified Risk Platform решение позволяет увидеть всю поверхность атаки с точки зрения злоумышленника, чтобы оперативно и превентивно укрепить слабые места.
Business Email Protection защищает корпоративную электронную почту от сложных атак. Решение отслеживает индикаторы компрометации, выявляет поведенческие маркеры вредоносной активности и извлекает артефакты для определения опасных писем прежде, чем они будут доставлены.