ГК Softline 4 декабря 2024

Фишинговые атаки и балет «Щелкунчик»

Сезон новогодних праздников традиционно становится «горячей» темой как для любителей культурных событий, так и для мошенников

Константин Мельников
Руководитель отдела анализа и оценки цифровых угроз Infosecurity ГК Softline

В ИБ с 2011 года, специализируется на проведении сетевых расследований, формировании методик и инструментов выявления, пресечения и анализа противоправной деятельности в сети Интернет

В 2024 году спрос на билеты на Кремлевскую елку и балет «Щелкунчик» в Большом театре вновь привел к всплеску фишинговых атак, который побил рекорды предыдущих лет.

Интересно, что ситуация с билетами на «Щелкунчика» привлекла в этом году особое внимание из-за нововведений. По данным официального Telegram-канала Московского Большого театра, отменены продажи билетов на новогодние показы в кассах театра, чтобы избежать очередей и спекуляций. Теперь приобрести билеты можно будет только на официальном сайте театра или на аукционе, который пройдет на электронной торговой площадке «Сбера», начиная со 2 декабря.

Эти изменения лишь усилили интерес злоумышленников к теме, и их действия стали еще изощреннее.

Фишинг: масштаб и особенности

Эксперты DRP-сервиса ETHIC компании Infosecurity ежедневно фиксируют более 150 новых фишинговых ресурсов, связанных с продажей билетов на Кремлевскую елку и балет «Щелкунчик». Это в три раза больше, чем в аналогичный период прошлого года, когда количество подобных ресурсов составляло около 50 в сутки.

Тактика злоумышленников

1. Массовая регистрация сайтов.

На одного злоумышленника приходится от 80 до 150 новых доменов, зарегистрированных одновременно. Некоторые из них используются сразу, но 30-40% сайтов остаются в резерве на случай непредвиденных блокировок.

2. Использование «бородатых» ресурсов.

Злоумышленники охотно используют домены, зарегистрированные несколько лет назад — в 2020, 2022 и 2023 годах. Такие сайты ценятся выше, так как воспринимаются легитимно и реже попадают под блокировку. В этом году эксперты Infosecurity обнаружили активизацию таких «спящих» доменов, которые ранее успешно работали в мошеннических схемах и не привлекли внимания надзорных органов.

3. Сбор данных вместо продажи билетов.

Некоторые сайты не предлагают билеты напрямую, а собирают персональную информацию пользователей. Например, злоумышленники размещают сообщение: «Билетов временно нет, оставьте свои контактные данные, чтобы мы могли уведомить вас, как только они появятся». Для связи чаще всего просят оставить ФИО, номер телефона или контакты в мессенджерах (WhatsApp, Telegram). Потом эти данные можно использовать для более таргетированной мошеннической атаки на жертву.

4. Перенаправление через реферальные ссылки.

Некоторые сайты используют популярность запросов о Кремлевской елке и балете «Щелкунчик» в Большом театре для заработка на реферальных программах. Это нельзя назвать мошенничеством, но подобные действия могут вводить пользователей в заблуждение.

Например, кликнув на баннер, пользователь может быть перенаправлен на официальную страницу агрегатора Яндекс.Афиши по реферальной ссылке. Однако вместо билетов в Большой театр ему предлагаются билеты на менее значимые события, например, на «балетно-симфоническую поэму Щелкунчик» в небольшом или малоизвестном театре. Такой способ заработка на невнимательности пользователей не нарушает закон, но может вызывать недовольство тех, кто ожидал купить билеты на культовое представление.

Как распознать фишинг?

Эксперты советуют обращать внимание на следующие признаки:

1. Дата и регистрация домена.

Используйте сервисы Whois, чтобы узнать, кто и когда зарегистрировал сайт. Если владелец указан как «Private Person» (частное лицо), это повод для сомнений.

2. Качество сайта.

Мошеннические ресурсы часто имеют низкое качество: сбитый дизайн, некликабельные ссылки, ошибки в тексте. Например, при нажатии на «Купить билет» может появиться нерабочая ссылка или пустая страница.

3. Отсутствие данных о компании.

На фишинговых сайтах либо отсутствует информация о юридическом лице, либо указаны поддельные данные, не связанные с продажей билетов.

4. Политика конфиденциальности.

Злоумышленники часто забывают добавлять этот раздел, либо размещают несоответствующую информации политику.

Легитимные посредники: чем они опасны?

Не все сторонние сайты являются мошенническими. На рынке существует множество легитимных агрегаторов, перепродающих билеты с наценкой. Здесь, в большинстве случаев, существует только риск переплаты. Эксперты советуют выбирать проверенные платформы с хорошей репутацией и отзывами.

Как обезопасить себя?

  1. Покупайте билеты только на официальных сайтах, указанных в новостях или на тематических ресурсах.
  2. Используйте официальные агрегаторы: Яндекс.Афиша, Тикетленд и другие.
  3. Приобретайте билеты в кассах, если такая возможность есть.
  4. Проверяйте сайты перед покупкой и избегайте предложений, которые кажутся слишком заманчивыми. Осведомленность и осторожность — лучшие инструменты защиты в цифровой среде.