В преддверии начала сезона отпусков, а также на фоне введения туристического кешбэка и закрытия Турции увеличилось количество мошенников и фишинговых сайтов, которые предлагают купить авиа- и ж/д-билеты. Компании стараются вовремя блокировать такие ресурсы, но проблема заключается в том, что в большинстве своём они являются сайтами-однодневками, поэтому оценить настоящую сумму ущерба от таких аферистов сложно.
На проблему обратили внимание в Роскачестве и агрегаторах поиска билетов. За последнее время было закрыто порядка 100 мошеннических ресурсов. В апреле число обращений по ним выросло в два раза по сравнению с январём. Людей чаще всего заманивают большими скидками и выгодными предложениями. Как аферисты зарабатывают на людях, которые решили отдохнуть, разбирался "ДП".
Сезон мошенников
О росте количества аферистов сообщают в "Лаборатории Касперского". Только в марте этого года они заблокировали более 10 тыс. попыток перехода на сайты, где предлагались поддельные авиабилеты и которые выдавали себя за туроператоров.
"Накануне майских праздников и приближающегося сезона отпусков злоумышленники фокусируются на туристической сфере и эксплуатируют связанные с ней темы. Как правило, мошенники внимательно следят за новостной повесткой и адаптируют под неё свои схемы и методы. Сейчас бренды запускают акции с хорошими скидками и рассылают много сообщений, среди которых предложения злоумышленников могут не попасть под подозрение и показаться легитимными. Кроме того, мы видим, как постепенно снимаются некоторые ограничения, связанные с коронавирусом, и люди как никогда заинтересованы в туристических поездках. Мошенники это тоже принимают во внимание", — рассказал "ДП" Алексей Марченко, руководитель отдела развития методов фильтрации контента "Лаборатории Касперского".
Злоумышленники рассылают фишинговые сообщения по почте и в мессенджерах, размещают ссылки на фишинговые сайты в социальных сетях, добавил собеседник. Такие сообщения и посты обычно содержат предложения принять участие в акциях, воспользоваться большими скидками или получить какие-либо ещё привилегии. Подобные рассылки в соцсетях и мессенджерах особенно опасны потому, что пользователи нередко сами пересылают друг другу этот контент, он достаточно виральный. Кроме того, ссылки на фишинговые сайты иногда могут появляться в рекламе на странице поисковой выдачи.
В Aviasales "ДП" рассказали, что за последнее время с помощью проекта "Настоящийбилет.рф" (совместный проект Роскачества, Aviasales и Brand Security) удалось закрыть более 100 мошеннических сайтов. Традиционно создатели поддельных сайтов активизируются к сезонам отпусков. Так, в апреле обращений почти в два раза больше, чем в январе. При этом подсчитать точную сумму ущерба, которую нанесли такие ресурсы, достаточно сложно.
"Это очень условно можно посчитать. Мы исходим из того, что это сайты-однодневки. Мошенник делает простой сайт, продает три-пять поддельных билетов на сумму в районе 50 тыс. рублей, и его закрывают. Но просто умножить 50 тыс. на тысячу закрытых сайтов было бы странно, потому что есть ещё и неучтенные и не все продали на 50 тыс. рублей", — привели пример в Aviasales.
По данным Роскачества, в 2020 году было заблокировано 7,6 тыс. мошеннических сайтов, из них более 6,8 тыс. приходилось на ресурсы, продававшие фейковые билеты на поезда и самолёты. С помощью разработанных чек-листов Роскачество проанализировало 28 сайтов из поисковой выдачи по запросам поиска билетов. В итоге к сайтам, которые соответствовали критериям, вошли rzd.ru, aviakassa.com, bilet.aero, biletix.ru, grandtrain.ru, kupibilet.ru, onetwotrip.com, ozon.travel, sapsan.su, svyaznoy.travel, tinkoff.ru, trains.anywayanyday.com, travel.yandex.ru, tutu.ru, жд-билеты.сайт.
Но при этом особую категорию занимают сайты, которые мимикрируют под известные агрегаторы (так называемые фишинговые сайты): "Каждая крупная компания в Рунете сталкивается с тем, что рано или поздно появляются сайты, мимикрирующие под неё, — встречаются копии и нас, и всех остальных игроков рынка. Мы, равно как и другие компании рынка, постоянно отслеживаем такие сайты — эксплуатирующие наш бренд и мимикрирующие под нас, то есть использующие логотип, дизайн сайта, похожие адреса. Мы делаем это, чтобы защитить наших клиентов и уберечь их от мошенников", — прокомментировал руководитель отдела информационной безопасности сервиса поездок и путешествий "Туту.ру" Павел Арланов.
Такие сайты наносят ощутимый ущерб всем игрокам в отрасли, особенно малым, так как из-за большого количества мошенников пользователи начинают пользоваться в основном только теми сайтами, которым доверяют уже давно, и стараются не рисковать деньгами в поисках предложения получше. Для больших компаний такие вредоносные сайты — это ещё и имиджевый риск, ведь паразитирование на бренде со стороны злоумышленников снижает привлекательность самого бренда в глазах потребителя.
Что касается материального ущерба, который фишинговые сайты наносят потребителям, забирая у них деньги, но по факту не оказывая услуги, то суммы могут колебаться в очень широких диапазонах, примерно от 2 тыс. до 100 тыс. рублей за заказ в зависимости от даты и транспорта и направления, на которое покупается билет, добавил Павел Арланов.
"За последний месяц мы зафиксировали несколько новых мошеннических сайтов, но достаточно быстро их обнаружили и заблокировали. Всплески активности обычно заметны к сезону отпусков. Поэтому если вдруг вы видите супервыгодное предложение с невероятной ценой, проверьте, действительно ли вы находитесь на настоящем сайте авиакомпании или на нашем сайте tutu.ru. Мы владеем множеством доменов с возможными опечатками адреса (например: tu-tu.ru) и перенаправляем с них на основной tutu.ru. Аналогично поступают другие компании", — объяснил собеседник.
Выгодная угроза
Во всех компаниях, специализирующихся на кибербезопасности, считают, что в первую очередь должны настораживать больше скидки, предлагаемые на ресурсах, и слишком выгодные предложения.
В "Лаборатории Касперского" отмечают, что бороться конкретно с фишингом можно в первую очередь путём просвещения пользователей о существующей опасности. Самая главная опасность такого вида мошенничества состоит не столько в фейковой покупке товара, сколько в похищении личных и платёжных данных пользователя. Так, люди рискуют потерять доступ к учетной записи или даже деньги. В 2020 году компания заблокировала более 80 млн попыток перехода пользователей на различные фишинговые ресурсы в России.
"Рекомендуем для онлайн-покупок завести отдельную карту, например виртуальную, держать на ней небольшие суммы и установить суточные лимиты на снятие средств. Поможет и установка защитного решения, которое заблокирует попытку перейти на фишинговый сайт или вредоносные рекламные баннеры. При покупке авиабилетов в интернете пользователям следует обратить внимание на адрес сайта: если он отличается от оригинального даже на один символ, это повод задуматься и не вводить на нем никакие данные. Случается, что название платформы указано правильно, при этом к нему прибавлено слово, которого быть не должно. Также большая часть кнопок на подобных сайтах в основном не работает, могут встречаться опечатки и ошибки, и на это стоит обращать внимание", — посоветовал Алексей Марченко из "Лаборатории Касперского".
В Group-IB "ДП" рассказали, что не фиксируют аномальной активности мошенников. По их мнению, это связано с неопределённостью — многим всё ещё непонятно, какие страны открыты (или будут открыты в ближайшее время) для туризма, а какие нет: "Впрочем, что можно прогнозировать точно — мошенники будут "бить" именно по российским курортам, по внутреннему туризму, поскольку большая часть наших сограждан будут отдыхать на родине", — считает Яков Кравцов, заместитель руководителя отдела спецпроектов Digital Risk Protection компании Group-IB.
Участникам рынка продажи билетов эксперт советует внимательнее относиться к защите бренда. Необходимо вести качественный мониторинг сети и оперативно реагировать на выявленные проблемы, добиваясь нейтрализации самих преступных групп. Если внутренних ресурсов компании недостаточно, стоит обратиться к вендорам, предоставляющим защиту от подобного типа угроз.
Для обычных пользователей совет всё тот же — проявлять внимательность: "Если вы не уверены в своих знаниях, потратьте несколько минут на поиск официального ресурса. Один из наиболее простых советов — переходите на сайты из официальных социальных сетей компании, отмеченных галочкой. Это может в какой-то мере являться гарантией надежности. Следует обращать внимание на нереалистично большие скидки на покупку авиабилетов. Если акция слишком выгодная, обратитесь на официальный сайт компании — там обязательно расскажут, существует ли подобная акция", — добавил эксперт.
Илья Куркин, эксперт компании "Доктор Веб", обращает внимание, что билетные агрегаторы не предлагают купить билеты прямо на сайте, вместо этого они направляют на сайты авиакомпаний. Иное должно также настораживать.
"Кроме того, можно просматривать сведения о домене сайта c помощью WHOIS (сетевой протокол, который позволяет получить данные о владельце сайта и его IP-адреса. — Ред.). Особое внимание следует обращать на дату регистрации домена и самого регистратора. Дата регистрации фишинговых/мошеннических ресурсов почти всегда будет свежей, то есть домен будет зарегистрирован недавно. А в качестве регистратора доменного имени чаще всего будет указан не крупный и известный регистратор, а бюджетный хостинг-провайдер. Хотя для простого пользователя такая проверка может быть избыточной, ведь чаще всего визуального анализа домена и внешнего вида сайта достаточно, чтобы отличить поддельный сайт", — рассказал он.
