Мащабна измамна кампания с над 700 имена на домейни вероятно е насочена към рускоговорящи потребители, които искат да закупят билети за Летните олимпийски игри в Париж.
Операцията предлага фалшиви билети за Олимпийските игри и изглежда се възползва от други големи спортни и музикални събития.
Изследователите, които анализират кампанията, я наричат Ticket Heist и установяват, че някои от домейните са създадени през 2022 г., а заплахата продължава да регистрира средно по 20 нови всеки месец.
В края на 2023 г. изследователи от компанията за разузнаване на заплахи QuoIntelligence забелязват засилени разговори за Олимпийските игри в Париж, планирани да започнат на 26 юли тази година.
Тъй като събитието винаги е било използвано за геополитическо влияние и решението на Международния олимпийски комитет да забрани участието на руски и беларуски спортисти под флага на техните страни, изследователите продължиха да следят темата и да търсят подозрителна активност онлайн.
QuoIntelligence следеше за конкретни ключови думи (напр. ticket, Paris, discount, offer), използвани в новорегистрирани домейни, и откри операция Ticket Heist, която разчита на 708 домейна, хостващи убедителни уебсайтове, твърдящи, че продават валидни билети и предоставят възможности за настаняване за Олимпийските игри в Париж.
Първите открити такива домейни са ticket-paris24[.]com и tickets-paris24[.]com, като вторият е клонинг на първия.
„Въпреки дребните правописни и граматически грешки, вероятно дължащи се на директния превод от руски на английски език, уебсайтът и потребителското му изживяване бяха сравними с тези на сайт от висок клас.“ – пишат от QuoIntelligence
Взаимодействието с потребителя, което операторите на Ticket Heist са създали за посетителите, изглежда легитимно и насърчава ангажираността със сайта и избора на билети.
В днешния си доклад изследователите твърдят, че във всички уебсайтове, свързани с Ticket Heist, е налице една и съща рамка на потребителския интерфейс, като разликата между измамните уебсайтове е само в незначителни разлики в съдържанието и езика.
Освен дизайна на уебсайтовете, това, което се откроява в схемата, е цената на предлаганите фалшиви билети. QuoIntelligence отбелязва, че цените са завишени в сравнение с легитимните.
„Например, произволно събитие и място на официалния уебсайт може да струва по-малко от 100 евро, докато същите билети и места на измамните уебсайтове са на цена от минимум 300 евро, като често достигат до 1000 евро.“ – споделят наблюденията си от QuoIntelligence.
Изследователят на заплахите от QuoIntelligence Андрей Молдован заяви, че макар да няма потвърждение, по-високите цени може да са част от трик, който да накара жертвите да повярват, че получават „премиум “ срещу допълнителните пари, тъй като билетите не са достъпни по официалните канали за разпространение.
Алтернативно, по-високата цена може да накара жертвите да повярват, че става въпрос за скалпиране – стар метод, при който продавачът се възползва от недостига на билети.
Докато се опитваше да провери теориите си за целта на Ticket Heist и да събере информация, която би могла да доведе до това кой стои зад него, QuoIntelligence направи опит за покупка от един от измамните уебсайтове.
Те установяват, че всички транзакции се извършват чрез платформата за обработка на плащания Stripe и парите се прехвърлят само когато картата има достатъчно средства.
Това означава, че целта на оператора не е да събира информация за кредитните карти, а да открадне пари от жертвата.
Освен това този тест разкри и името на компанията VIP Events Team LLC, която е създадена на 26 ноември 2021 г. и все още е активна, но уебсайтът ѝ никога не е бил индексиран от публичните търсачки.
„Домейнът е регистриран в същия ден, в който е създадено дружеството. Няма споменавания на VIP Events Team LLC в Google, социалните медии, TrustPilot или други налични OSINT източници.“ – констатират от QuoIntelligence.
Изследователите казват, че макар компанията да изглежда базирана в Ню Йорк, в раздела „свържете се с нас“ на ticket-paris24[.]com е посочено, че компанията, която стои зад нея, се намира в Тбилиси, Грузия.
Анализирайки инфраструктурата, стояща зад операцията Ticket Heist, изследователите откриват, че всички измамнически домейни са хоствани на един и същ IP адрес, 179[.]43[.]166[.]54, принадлежащ на доставчик, който е свързан със злонамерени дейности от множество услуги.
Въпреки че всеки уебсайт има уникален SSL сертификат, QuoIntelligence забеляза модел в структурата на домейна и използваните уникални имена на поддомейни.
Те забелязват, че поддомейните често включват jswidget, widget-frame или widget-api, което в комбинация с DNS записи и общи JavaScript файлове им помага да разкрият цялата мрежа от 708 домейна.
Всеки месец престъпният колектив е регистрирал средно по 20 нови домейна, но през ноември миналата година броят им се е увеличил значително – създадени са 50 нови домейна.
Понастоящем 98% от домейните, свързани с Ticket Heist, се считат за чисти от зловреден софтуер от услугите за краудсорсинг анализ, което подкрепя теорията, че целта е да се краде директно от жертвите чрез легитимна платежна услуга.
Олимпийските събития в Париж не са единствените примамки в операцията Ticket Heist. Измамниците са се опитали да примамят жертвите и с фалшиви билети за Европейското първенство на УЕФА тази година.
QuoIntelligence откри множество англоезични уебсайтове, които предлагаха билети за футболното събитие.
Освен това изследователите са открили уебсайтове, които твърдят, че продават билети за музикални концерти с участието на известни групи като Twenty One Pilots, Iron Maiden, Metallica, Rammstein и музиканти (Бруно Марс, Лудовико Ейнауди).
В тези случаи изследователите твърдят, че фалшивите билети са били за концерти около Москва и други големи градове в Русия.
Въпреки че тези страници са били на английски език, QuoIntelligence казва, че повечето от уебсайтовете на Ticket Heist са били само на руски език, което предполага, че рускоговорящите потребители са били основната цел на операцията.
Друг показател, водещ до това заключение, е наличието на данни за контакт, използващи телефонни номера от руски мобилни услуги.
„Очевидно е, че това не е 100% доказателство, че намерението е било насочено към рускоговорящи лица, но много показатели и констатации сочат в тази посока“, казва Молдован.
За измамни уебсайтове, които твърдят, че продават билети за Олимпийските игри в Париж, е съобщавано и преди. Френската национална жандармерия предупреди миналия месец, че е открила 338 измамнически сайта, много от които са разположени извън страната.
В друг доклад компанията за киберсигурност Proofpoint алармира за такъв уебсайт, който се прокарва чрез спонсорирани резултати от търсачката.
В Reddit потребител се оплака, че е бил измамен, след като се е опитал да си купи билет от paris24tickets[.]com.
Въпреки че QuoIntelligence не можа да провери как е била извършена транзакцията, тъй като уебсайтът вече не е активен, Молдован казва, че въз основа на архивираните ресурси уебсайтът е бил напълно различен по отношение на хостинг инфраструктурата, мрежовата конфигурация и потребителския интерфейс.
Въпреки тези примери QuoIntelligence казва, че операцията Ticket Heist продължава и не е докладвана в публични изследвания, което показва, че множество измамници се опитват да се възползват от Олимпийските игри тази година.
Компанията за разузнаване на заплахи предоставя набор от индикатори за компрометиране (IoC) за операцията Ticket Heist, които общността за киберсигурност може да използва, за да защити своите клиенти.
Източник: QuoIntelligence
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.