Мошенники на поле: Group-IB выявила онлайн-угрозы болельщикам на чемпионате мира по футболу 2022 года в Катаре. November 29, 2022. https://www.group-ib.com/media-center/press-releases/scammers-on-the-pitch/?mod=djemCybersecruityPro&tpl=cy

Group-IB, один из мировых лидеров в области кибербезопасности, выявила многочисленные мошеннические и фишинговые атаки, нацеленные на пользователей, которые искали билеты, официальные товары и рабочие места на чемпионате мира по футболу 2022 года в Катаре. В преддверии турнира, который стартовал 20 ноября 2022 года, исследователи из группы защиты от цифровых рисков Group-IB обнаружили более 16 000 мошеннических доменов и десятки поддельных аккаунтов в социальных сетях, рекламных объявлений и мобильных приложений, созданных мошенниками, стремящимися извлечь выгоду из огромного глобального интереса к крупнейшему мировому событию для любителей футбола. Ведущая в отрасли служба анализа угроз Group-IB также помогла выявить более 90 потенциально скомпрометированных учетных записей на официальных фан-порталах Чемпионата мира по футболу 2022 года.

Чтобы помочь в усилиях по уничтожению мошеннических сайтов и защите болельщиков от атак мошенников, Group-IB поделилась всеми своими выводами с Интерполом в соответствии с давним сотрудничеством компании с Интерполом по вопросам безопасности крупных мероприятий. Кроме того, Группа реагирования на компьютерные чрезвычайные ситуации Group-IB (CERT-GIB) поделилась своими выводами о потенциально скомпрометированных учетных записях на портале болельщиков Чемпионата мира с Катарской группой реагирования на компьютерные чрезвычайные ситуации (Q-CERT), членом OIC-CERT.

Профессиональный фол

Согласно независимому опросу, проведенному TGM Research, ожидается, что примерно 1,08 миллиарда человек будут наблюдать за ходом чемпионата мира по футболу 2022 года в Катаре, 22-го международного футбольного первенства, в котором принимают участие мужские национальные команды стран-членов ФИФА. Мошенники не преминули воспользоваться огромным интересом к турниру со стороны болельщиков и тех, кто хочет работать на турнире, создавая поддельные сайты с целью кражи денег и личной информации у ничего не подозревающих жертв.

В ходе исследования Group-IB мошеннических действий, сопровождающих текущий турнир, CERT-GIB использовал возможности анализа угроз Group-IB для обнаружения более 90 потенциально скомпрометированных учетных записей на официальном портале идентификации болельщиков Qatar 2022 Hayya. Согласно выводам Group-IB, пароли к этим учетным записям были украдены злоумышленниками, которые использовали легкодоступные вредоносные программы для кражи информации, такие как RedLine и Erbium.

Аналитики Group-IB также выявили 4 различных волны мошеннических и фишинговых атак, а также множество поддельных приложений, доступных для загрузки из магазина Google Play, которые киберпреступники потенциально могут использовать для кражи банковских данных или учетных данных пользователей.

Рубашка с его спины

Одна мошенническая схема, выявленная в этом исследовании, заключалась в том, что мошенники создали поддельный веб-сайт с товарами и разместили более 130 рекламных объявлений в социальных сетях, пытаясь привлечь трафик на сайт. Этот веб-сайт предлагает потребителям фирменные футболки национальных сборных, участвующих в Катаре 2022, и пользователей просят ввести данные своей банковской карты или перевести деньги через платежные системы, отображаемые на поддельном сайте, чтобы приобрести футболку.

В конце концов, потребитель никогда не получит футболку своей национальной команды. Вместо этого мошенники либо получат деньги от транзакции, либо, в некоторых случаях, получат банковские учетные данные пользователя, которые затем они могут использовать для совершения множества мошеннических транзакций. CERT-GIB, который использует запатентованные антифишинговые технологии Group-IB, продолжит мониторинг этого ресурса и поделится своими выводами с Интерполом.

Билеты на большую игру

Мошенники также нацелились на тех, кто хотел приобрести билеты на игры чемпионата мира по футболу 2022 года. Чтобы сделать это открытие, Group-IB отследила 5 веб-сайтов и более 50 аккаунтов в социальных сетях, зарегистрированных не ранее сентября 2022 года, содержащих упоминания о “ФИФА”, “Чемпионате мира” и “билетах”.

Figure 2: Example of a fake ticket phishing site.

На фишинговых сайтах пользователей, которых обманули, заставив думать, что они покупают официальные билеты, просят ввести данные своей банковской карты или перевести деньги через платежный шлюз, представленный на веб-сайте. Мошенники либо получат средства от транзакции, либо, в некоторых случаях, украдут данные банковской карты пользователя, который не получит никаких билетов.

На поддельных страницах в социальных сетях пользователи перенаправляются в чаты с мошенниками в WhatsApp или Facebook Messenger. Мошенники запрашивают у пользователей их личную информацию и заставляют их переводить деньги за поддельные билеты.

Мошенники также создали около 40 поддельных приложений в магазине Google Play, которые доступны для скачивания. Эти приложения обещают пользователям доступ к билетам с игр. Приложения используют бренд Чемпионата мира по футболу 2022 года, чтобы запутать пользователей и заставить их загрузить поддельное приложение.

В приложении пользователям предлагается ввести свою личную информацию, и когда они пытаются приобрести то, что, по их мнению, является билетами на игры, мошенники могут либо получить учетные данные банковской карты жертв, либо, в некоторых случаях, жертв просят перевести деньги напрямую.

Со скамейки запасных

Мошенники также держали в поле зрения тех, кто хотел найти работу на чемпионате мира. Group-IB выявила 5 мошеннических веб-сайтов с такими ключевыми словами, как “работа” и “Катар”, а затем использовала официальный логотип турнира как средство повышения авторитета в глазах интернет-пользователей. Участники угроз также создали более 30 страниц в социальных сетях для продвижения ссылок на свои мошеннические страницы.

Эта мошенническая кампания является уловкой для кражи личных данных жертв, включая их полное имя, страну, номер телефона и информацию об их образовании. Group-IB считает, что эти данные могут быть использованы в будущих атаках социальной инженерии для кражи денег или данных банковских карт у жертв.

Обследование поля

В другой мошеннической схеме участники угроз использовали не только подобие чемпионата мира по футболу 2022 года в Катаре, поскольку также выдавали себя за ведущую катарскую нефтехимическую компанию. В общей сложности Group-IB выявила и проанализировала более 16 000 поддельных опросов, выдающих себя за несколько крупных брендов, в том числе тысячи, которые использовали брендинг Чемпионата мира по футболу в Катаре. В данном случае мошенники создали поддельные формы, обещая тем, кто заполнит анкету, подарок на празднование Чемпионата мира по футболу от нефтехимической компании в качестве уловки для кражи личных данных потенциальных жертв.

Тех, кто заполняет анкету, просят предоставить их личную информацию, включая полное имя, адрес электронной почты, домашний адрес и номер телефона, чтобы получить то, что, по их мнению, будет призом. После этого пользователей также просят поделиться ссылкой на мошеннический сайт через WhatsApp с 5-10 группами или 20-30 контактами.

В соответствии с политикой абсолютной нетерпимости Group-IB к киберпреступности, CERT-GIB и команда Group-IB по защите от цифровых рисков будут продолжать отслеживать развитие мошенничества, нацеленного на болельщиков Чемпионата мира по футболу 2022 года в Катаре, и делиться своими исследованиями с Интерполом и Q-CERT, чтобы помочь любым усилиям по смягчению последствий.

от Автора: Sharef Hlal. Group-IB’s Head of Digital Risk Protection Analytics Team, Middle East and Africa:

“У участников угроз есть послужной список попыток нажиться на крупных событиях, особенно в спортивном мире. Целью этого исследования было повысить осведомленность о множестве различных видов мошенничества, с которыми пользователи могут столкнуться во время Чемпионата мира, и мы призываем пользователей Интернета быть начеку и перепроверять любой домен, с которым они сталкиваются в социальных сетях или через мессенджеры”.

Чтобы защитить себя от атак мошенников на протяжении всего мероприятия, пользователи должны быть особенно бдительными и дважды проверять, что они заходят на официальные веб-сайты турнира и страницы в социальных сетях, прежде чем вступать в контакт и вводить какие-либо личные или платежные данные. Пользователи также должны быть осторожны при переходе по ссылкам, которые предположительно ведут на веб-сайт конкретной компании, и проверять URL-адрес, поскольку мошенники часто используют доменные имена, похожие на существующие торговые марки, чтобы обманом заставить пользователей Интернета предоставить конфиденциальные данные.

Мы рекомендуем правообладателям, чьи бренды имитируются субъектами угроз в фишинговых и мошеннических кампаниях, использовать решения для защиты от цифровых рисков (DRP), которые помогают оперативно обнаруживать угрозы их бренду в Интернете и отправлять эти активы на блокировку.

About Group-IB

Group-IB, with its headquarters in Singapore, is one of the leading providers of solutions dedicated to detecting and preventing cyberattacks, identifying online fraud, investigating high-tech crimes, and protecting intellectual property. The company’s Threat Intelligence and Research Centers are located in the Middle East (Dubai), the Asia-Pacific (Singapore), and Europe (Amsterdam).

Group-IB’s Unified Risk Platform is an ecosystem of solutions that understands each organization’s threat profile and tailors defenses against them in real-time from a single interface. The Unified Risk Platform provides complete coverage of the cyber response chain. Group-IB’s products and services consolidated in Group-IB’s Unified Risk Platform include Group-IB’s Threat IntelligenceManaged XDRDigital Risk ProtectionFraud ProtectionAttack Surface ManagementBusiness Email ProtectionAudit & ConsultingEducation & TrainingDigital Forensics & Incident ResponseManaged Detection & Response, and Cyber Investigations.

Group-IB’s technological leadership and R&D capabilities are built on the company’s 19 years of hands-on experience in cybercrime investigations worldwide and more than 70,000 hours of cybersecurity incident response accumulated in our leading DFIR Laboratory, High-Tech Crime Investigations Department, and round-the-clock CERT-GIB.

Group-IB is an active partner in global investigations led by international law enforcement organizations such as Europol and INTERPOL. Group-IB is also a member of the Europol European Cybercrime Centre’s (EC3) Advisory Group on Internet Security, which was created to foster closer cooperation between Europol and its leading non-law enforcement partners.

Group-IB’s experience in threat hunting and cyber intelligence has been fused into an ecosystem of highly sophisticated software and hardware solutions designed to monitor, identify, and prevent cyberattacks. Group-IB’s mission is to protect its clients in cyberspace every day by creating and leveraging innovative solutions and services.

Group-IB’s experience in threat hunting and cyber intelligence has been fused into an ecosystem of highly sophisticated software and hardware solutions designed to monitor, identify, and prevent cyberattacks. Group-IB’s mission is to fight high-tech crime while protecting our clients in cyberspace and helping them achieve their goals. To do so, we analyze cyber threats, develop our infrastructure to monitor them, respond to incidents, investigate complex high-tech crimes, and design unique technologies, solutions, and services to counteract adversaries.

О группе-IB

Group-IB со штаб-квартирой в Сингапуре является одним из ведущих поставщиков решений, предназначенных для обнаружения и предотвращения кибератак, выявления онлайн-мошенничества, расследования высокотехнологичных преступлений и защиты интеллектуальной собственности. Центры анализа угроз и исследований компании расположены на Ближнем Востоке (Дубай), в Азиатско-Тихоокеанском регионе (Сингапур) и Европе (Амстердам).

Унифицированная платформа управления рисками Group-IB — это экосистема решений, которая понимает профиль угроз каждой организации и разрабатывает средства защиты от них в режиме реального времени с помощью единого интерфейса. Единая платформа управления рисками обеспечивает полный охват цепочки реагирования на кибератаки. Продукты и услуги Group-IB, объединенные в Единую платформу управления рисками Group-IB, включают в себя анализ угроз Group-IB, управляемую XDR, Защиту от цифровых рисков, Защиту от мошенничества, Управление поверхностью атаки, Защиту деловой электронной почты, Аудит и консалтинг, Образование и тренинги, Цифровую криминалистику и реагирование на инциденты, Управляемое обнаружение и реагирование, и киберрасследования.

Технологическое лидерство и возможности Group-IB в области исследований и разработок основаны на 19-летнем практическом опыте компании в расследовании киберпреступлений по всему миру и более чем 70 000 часах реагирования на инциденты кибербезопасности, накопленных в нашей ведущей лаборатории DFIR, отделе расследования высокотехнологичных преступлений и круглосуточном CERT-GIB.

Group-IB является активным партнером в глобальных расследованиях, проводимых международными правоохранительными организациями, такими как Европол и Интерпол. Group-IB также является членом Консультативной группы Европейского центра по борьбе с киберпреступностью Европола (EC3) по безопасности в Интернете, которая была создана для содействия более тесному сотрудничеству между Европолом и его ведущими партнерами, не относящимися к правоохранительным органам.

Опыт Group-IB в области поиска угроз и киберразведки был объединен в экосистему высокоразвитых программных и аппаратных решений, предназначенных для мониторинга, выявления и предотвращения кибератак. Миссия Group-IB заключается в ежедневной защите своих клиентов в киберпространстве путем создания и использования инновационных решений и услуг.

Опыт Group-IB в области поиска угроз и киберразведки был объединен в экосистему высокоразвитых программных и аппаратных решений, предназначенных для мониторинга, выявления и предотвращения кибератак. Миссия Group-IB заключается в борьбе с высокотехнологичной преступностью, одновременно защищая наших клиентов в киберпространстве и помогая им достигать своих целей. Для этого мы анализируем киберугрозы, развиваем нашу инфраструктуру для их мониторинга, реагируем на инциденты, расследуем сложные высокотехнологичные преступления и разрабатываем уникальные технологии, решения и сервисы для противодействия злоумышленникам.