Компания Group-IB, специализирующаяся на кибербезопасности, обнаружила более 16 тыс. мошеннических ресурсов, на которых любителям футбола предлагали билеты на матчи чемпионата мира в Катаре, а также одежду и сувениры с официальной символикой FIFA 2022. Как удалось выяснить экспертам, еще более 60 таких ресурсов нацелены на российских болельщиков — под видом розыгрыша призов на фейковой странице трансляций футбольных матчей у зрителей похищали деньги и данные банковских карт.

Так, в разгар крупнейшего футбольного события в Катаре специалисты Group-IB обнаружили в Рунете активную сеть из 66 ресурсов, которые под видом прямых трансляций c матчей, перенаправляли пользователей на скаммерские и фишинговые сайты.

Ранее владелец этой сети под ником Kinohoot использовал аналогичную схему во время Летних Олимпийских игр в Токио 2020-го года и зимних Олимпийских игр в Пекине двумя годами позже. За несколько лет наблюдения за его активностью, Group-IB зафиксировала 382 домена, зарегистрированных злоумышленником под различные схемы «развода», связанные со спортивными событиями.

Как выяснили эксперты компании, анонсы прямых трансляций мошенник по-прежнему размещает на взломанных страничках легальных сайтов (например, университетов).

Схема обмана тоже не изменилась: на мошенническом сайте болельщикам предлагается поучаствовать в розыгрыше бесплатного доступа к трансляциям, открыв одну из 12 «коробочек», высвечивающихся на экране. Пользователю дается три попытки, чтобы выбрать коробку с денежным призом в размере 10 до 10 тыс. долларов. После двух неудачных попыток — третья всегда оказывается удачной.

Далее «победителя» по классическому сценарию просят оплатить небольшую «комиссию» за конвертацию — 300-500 рублей, для чего ему приходится вводить данные банковской карты. В итоге трансляция так и не начинается, а жертва теряет и деньги, и данные карты.

Глеб Мартьянов
Главный эксперт Центра реагирования на инциденты информационной безопасности Group-IB (CERT-GIB, 24/7):

«Чтобы избежать блокировки сразу всех своих доменов, преступники оставляют активными только несколько сайтов, а остальные находятся в «спящем режиме. Такие ресурсы могут быть запущены в считанные минуты в любой момент, при этом обнаружить и заблокировать их до активации достаточно сложно. Именно поэтому мы рекомендуем футбольным болельщикам быть бдительными и следовать элементарным правилам кибергигиены: не переходить по сомнительным ссылкам, проверять сайты, где вводите данные, и, разумеется, не оплачивать своей банковской картой покупки и услуги на незнакомых ресурсах».

Помимо фейковых трансляций, специалисты Group-IB выделили четыре основных мошеннических сценария, которые преступники используют во время мундиаля. Например, мошенники массово регистрировали фейковые интернет-магазины на английском и арабских языках, где предлагали болельщикам приобрести фирменные футболки национальных сборных-участниц турнира, сувениры или билеты на матч.

После того как жертва вводила данные своей банковской карты, они оказывались в руках у преступников, а деньги списывались. В других сценариях злоумышленники предлагали заполнить анкету для получения ценного приза или трудоустройства в качестве волонтера на период чемпионата — опрос также оказывался ловушкой для кражи денег и персональных данных.

Вся информация о выявленных мошеннических ресурсах направлена представителям Интерпола и группе реагирования на компьютерные инциденты Катара (Q-CERT).