Търсене
Close this search box.

Мащабна измамна кампания с над 700 имена на домейни вероятно е насочена към рускоговорящи потребители, които искат да закупят билети за Летните олимпийски игри в Париж.

Операцията предлага фалшиви билети за Олимпийските игри и изглежда се възползва от други големи спортни и музикални събития.

Изследователите, които анализират кампанията, я наричат Ticket Heist и установяват, че някои от домейните са създадени през 2022 г., а  заплахата продължава да регистрира средно по 20 нови всеки месец.

Фалшиви билети за Олимпийските игри на завишени цени

В края на 2023 г. изследователи от компанията за разузнаване на заплахи QuoIntelligence забелязват засилени разговори за Олимпийските игри в Париж, планирани да започнат на 26 юли тази година.

Тъй като събитието винаги е било използвано за геополитическо влияние и решението на Международния олимпийски комитет да забрани участието на руски и беларуски спортисти под флага на техните страни, изследователите продължиха да следят темата и да търсят подозрителна активност онлайн.

QuoIntelligence следеше за конкретни ключови думи (напр. ticket, Paris, discount, offer), използвани в новорегистрирани домейни, и откри операция Ticket Heist, която разчита на 708 домейна, хостващи убедителни уебсайтове, твърдящи, че продават валидни билети и предоставят възможности за настаняване за Олимпийските игри в Париж.

Първите открити такива домейни са ticket-paris24[.]com и tickets-paris24[.]com, като вторият е клонинг на първия.

„Въпреки дребните правописни и граматически грешки, вероятно дължащи се на директния превод от руски на английски език, уебсайтът и потребителското му изживяване бяха сравними с тези на сайт от висок клас.“ – пишат от QuoIntelligence

Взаимодействието с потребителя, което операторите на Ticket Heist са създали за посетителите, изглежда легитимно и насърчава ангажираността със сайта и избора на билети.

В днешния си доклад изследователите твърдят, че във всички уебсайтове, свързани с Ticket Heist, е налице една и съща рамка на потребителския интерфейс, като разликата между измамните уебсайтове е само в незначителни разлики в съдържанието и езика.

Освен дизайна на уебсайтовете, това, което се откроява в схемата, е цената на предлаганите фалшиви билети. QuoIntelligence отбелязва, че цените са завишени в сравнение с легитимните.

„Например, произволно събитие и място на официалния уебсайт може да струва по-малко от 100 евро, докато същите билети и места на измамните уебсайтове са на цена от минимум 300 евро, като често достигат до 1000 евро.“ – споделят наблюденията си от QuoIntelligence.

Изследователят на заплахите от QuoIntelligence Андрей Молдован заяви, че макар да няма потвърждение, по-високите цени може да са част от трик, който да накара жертвите да повярват, че получават „премиум “ срещу допълнителните пари, тъй като билетите не са достъпни по официалните канали за разпространение.

Алтернативно, по-високата цена може да накара жертвите да повярват, че става въпрос за скалпиране – стар метод,  при който продавачът  се възползва от недостига на билети.

Докато се опитваше да провери теориите си за целта на Ticket Heist и да събере информация, която би могла да доведе до това кой стои зад него, QuoIntelligence направи опит за покупка от един от измамните уебсайтове.

Те установяват, че всички транзакции се извършват чрез платформата за обработка на плащания Stripe и парите се прехвърлят само когато картата има достатъчно средства.

Това означава, че целта на оператора не е да събира информация за кредитните карти, а да открадне пари от жертвата.

Освен това този тест разкри и името на компанията VIP Events Team LLC, която е създадена на 26 ноември 2021 г. и все още е активна, но уебсайтът ѝ никога не е бил индексиран от публичните търсачки.

„Домейнът е регистриран в същия ден, в който е създадено дружеството. Няма споменавания на VIP Events Team LLC в Google, социалните медии, TrustPilot или други налични OSINT източници.“ – констатират от QuoIntelligence.

Изследователите казват, че макар компанията да изглежда базирана в Ню Йорк, в раздела „свържете се с нас“ на ticket-paris24[.]com е посочено, че компанията, която стои зад нея, се намира в Тбилиси, Грузия.

Анализирайки инфраструктурата, стояща зад операцията Ticket Heist, изследователите откриват, че всички измамнически домейни са хоствани на един и същ IP адрес, 179[.]43[.]166[.]54, принадлежащ на доставчик, който е свързан със злонамерени дейности от множество услуги.

Въпреки че всеки уебсайт има уникален SSL сертификат, QuoIntelligence забеляза модел в структурата на домейна и използваните уникални имена на поддомейни.

Те забелязват, че поддомейните често включват jswidget, widget-frame или widget-api, което в комбинация с DNS записи и общи JavaScript файлове им помага да разкрият цялата мрежа от 708 домейна.

Всеки месец престъпният колектив е регистрирал средно по 20 нови домейна, но през ноември миналата година броят им се е увеличил значително – създадени са 50 нови домейна.

Понастоящем 98% от домейните, свързани с Ticket Heist, се считат за чисти от зловреден софтуер от услугите за краудсорсинг анализ, което подкрепя теорията, че целта е да се краде директно от жертвите чрез легитимна платежна услуга.

Примамки за събития и жертви

Олимпийските събития в Париж не са единствените примамки в операцията Ticket Heist. Измамниците са се опитали да примамят жертвите и с фалшиви билети за Европейското първенство на УЕФА тази година.

QuoIntelligence откри множество англоезични уебсайтове, които предлагаха билети за футболното събитие.

Освен това изследователите са открили уебсайтове, които твърдят, че продават билети за музикални концерти с участието на известни групи като Twenty One Pilots, Iron Maiden, Metallica, Rammstein и музиканти (Бруно Марс, Лудовико Ейнауди).

В тези случаи изследователите твърдят, че фалшивите билети са били за концерти около Москва и други големи градове в Русия.

Въпреки че тези страници са били на английски език, QuoIntelligence казва, че повечето от уебсайтовете на Ticket Heist са били само на руски език, което предполага, че рускоговорящите потребители са били основната цел на операцията.

Друг показател, водещ до това заключение, е наличието на данни за контакт, използващи телефонни номера от руски мобилни услуги.

„Очевидно е, че това не е 100% доказателство, че намерението е било насочено към рускоговорящи лица, но много показатели и констатации сочат в тази посока“, казва Молдован.

За измамни уебсайтове, които твърдят, че продават билети за Олимпийските игри в Париж, е съобщавано и преди. Френската национална жандармерия предупреди миналия месец, че е открила 338 измамнически сайта, много от които са разположени извън страната.

В друг доклад компанията за киберсигурност Proofpoint алармира за такъв уебсайт, който се прокарва чрез спонсорирани резултати от търсачката.

В Reddit потребител се оплака, че е бил измамен, след като се е опитал да си купи билет от paris24tickets[.]com.

Въпреки че QuoIntelligence не можа да провери как е била извършена транзакцията, тъй като уебсайтът вече не е активен, Молдован казва, че въз основа на архивираните ресурси уебсайтът е бил напълно различен по отношение на хостинг инфраструктурата, мрежовата конфигурация и потребителския интерфейс.

Въпреки тези примери QuoIntelligence казва, че операцията Ticket Heist продължава и не е докладвана в публични изследвания, което показва, че множество измамници се опитват да се възползват от Олимпийските игри тази година.

Компанията за разузнаване на заплахи предоставя набор от индикатори за компрометиране (IoC) за операцията Ticket Heist, които общността за киберсигурност може да използва, за да защити своите клиенти.

Източник: QuoIntelligence

Източник: e-security.bg

Подобни публикации

11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
10 октомври 2024

Нов проект на Google има за цел да се превърне ...

Днес Google обяви старта на Глобалния обмен на сигнали (GSE) –...
Бъдете социални
Още по темата
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
03/10/2024

Криптопортфейли, насочени ч...

Потребителите на популярни портфейли за криптовалута...
29/09/2024

Приложение за крипто измами...

Изследователи в областта на киберсигурността са...
Последно добавени
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
11/10/2024

Киберсигурността - стълбът ...

Октомври е не само първият месец...
11/10/2024

31 милиона потребители са з...

Интернет архивът потвърди, че е бил...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!