Сеть из почти полутора сотен ресурсов с нелегальными трансляциями с Игр в Пекине раскрыла компания Group-IB. Злоумышленники перенаправляли посетителей, желавших посмотреть спортивные состязания, на мошеннические и фишинговые ресурсы, где под видом участия в различных конкурсах у них выманивали денежные средства. Большинство мошеннических ресурсов уже заблокировано.
Фото: Александр Казаков, Коммерсантъ
Фото: Александр Казаков, Коммерсантъ
Центр реагирования на инциденты информационной безопасности компании Group-IB (CERT-GIB), много лет работающей в области кибербезопасности, обнаружила 140 ресурсов, которые под видом прямых трансляций зимних Олимпийских игр в Пекине перенаправляли пользователей на мошеннические и фишинговые сайты. При этом анонсы нелегальных трансляций злоумышленники размещали, в том числе, на взломанных страничках университетов, благотворительных фондов и онлайн-магазинов.
По данным экспертов, всего в схеме могло быть задействовано 289 сайтов. В крупнейшую сеть мошеннических сайтов Kinohoot входило более сотни ресурсов. Ее владелец начал регистрировать домены еще в 2019 году и, по данным CERT-GIB, успел «поучаствовать» в 2021 году в летних Олимпийских играх в Токио — тогда специалисты нашли 120 однотипных ресурсов, созданных для ведения нелегальных «прямых эфиров».
Сама схема с трансляциями довольно проста. Увидев на одной из страниц взломанного ресурса окно видеоплеера с внедренной ссылкой на «прямую трансляцию» и символикой зимних Олимпийских игр, посетитель кликает ее и переходит на лендинг прямого эфира. Однако для просмотра трансляции необходимо пройти регистрацию, ввести свой телефонный номер и указать специальный «код доступа», кнопка получения которого в зависимости от страны и устройства посетителя приводит жертву на различные мошеннические и фишинговые ресурсы.
На одном из таких ресурсов, к примеру, предлагалось поучаствовать в розыгрыше бесплатного доступа к трансляциям, попытавшись найти приз в одной из 12 «коробочек». Обычно выигрышной оказывалась третья попытка, причем призовая сумма составляла от $10 до $10 тыс. Для «получения» денег клиенту нужно было пройти традиционную мошенническую схему: оплатить небольшую «комиссию» за конвертацию — 300–500 руб. и ввести данные банковской карты на фишинговом ресурсе. В результате посетитель терял деньги с карты. В другом случае жертву просили отправить смс на указанный номер, но вместо трансляции подключали к различным платным сервисам и подпискам.
«Интернет-афера “коробочки” известна довольно давно, но мошенники постоянно подстраивают свои схемы под популярные или значимые события в мире и, конечно, используют для этого свежезарегистрированные домены»,— комментирует Александр Калинин, руководитель CERT-GIB.
Чтобы войти в доверие к жертве, редирект зачастую размещается на взломанных сайтах университетов (например, эквадорского Universidad Espiritu Santo или индонезийского Universitas Muhammadiyah Yogyakarta), благотворительных фондов и некоммерческих организаций (African Studies Association)». Эксперты Group-IB рекомендуют с недоверием относиться к «акциям» и «розыгрышам» и тем более не вводить данные банковских карт и персональные данные на подозрительных сайтах.
CERT-GIB направил данные о мошеннических и фишинговых ресурсах регистраторам для их дальнейшей блокировки, однако, отмечают в компании, сложность заключается в том, что домены зарегистрированы не в зоне ру. Кроме того, в случае блокировки они быстро переезжают на запасные сайты-зеркала.