В группе риска — ритейл: Group-IB выявила мошенническую схему, нацеленную на покупателей международных розничных сетей

Group-IB, международная компания, специализирующаяся на предотвращении кибератак, обнаружила группу Интернет-мошенников, которая от имени десятков крупных европейских брендов заманивает пользователей на фальшивые сайты, монетизируя рекламный трафик. Основной фокус мошеннической схемы направлен на покупателей крупных международных ритейл-сетей, таких как Carrefour, Conad, Target и других. По данным Group-IB, за последние 2 года от деятельности группы, получившей название Lotsy, пострадали более 100 брендов.

Новая масштабная кампания с фейковыми сайтами использовала 13 языков, среди которых португальский, русский, английский, итальянский, индонезийский, вьетнамский, арабский, французский, немецкий, испанский, украинский, польский, тайский и другие. В общей сложности эксперты Group-IB обнаружили 114 связанных между собой поддельных ресурсов, задействованных в мошеннической схеме. Часть из них по-прежнему активны.

Lotsy является типичной группой мошенников-траферов. Впервые с их деятельностью эксперты Group-IB столкнулись в 2017 году, когда злоумышленники подделали бренды известных авиакомпаний, предлагая от их имени поучаствовать в розыгрыше авиабилетов. В новой масштабной кампании Lotsy нацелились на ритейл-сети. Примечательно, что сеть фальшивых сайтов, созданных группой, удалось обнаружить, благодаря инциденту с авиакомпанией.

Под прицелом розница

Партнер Group-IB в Италии компания DeepCyber передала экспертам BrandProtection технические данные по фейковым сайтам, созданным под авиаперевозчика Alitalia. Благодаря оперативным действиям Group-IB, поддельные ресурсы, незаконно использовавшие бренд итальянской компании, были заблокированы.

Исследовав связи между фальшивыми ресурсами с помощью графового анализа, специалисты Group-IB обнаружили более 100 фальшивых сайтов, использующих крупные международные бренды розничных торговых сетей, в том числе Conad (итальянский бренд розничной торговли), Target (международная сеть розничных магазинов) и Carrefour (международная сеть гипермаркетов) и многие другие.

Во всех случаях на сайтах, максимально похожих на официальные, разыгрывались престижные смартфоны iPhone XS, Samsung Galaxy S10, подарочные купоны, косметика, билеты первого класса, денежные вознаграждения и другие привлекательные для покупателей призы. Доверие вызывало, прежде всего, то, что ссылка на фальшивый сайт, как и в более ранних схемах Lotsy, приходила доверчивому покупателю от его друга в мессенджере Facebook или WhatsApp.

Невольный соучастник

Далее схема трафферов развивалась стандартно. После нажатия на ссылку, пользователь попадает на фейковый ресурс, дублирующий официальный сайт крупной торговой сети. Разумеется, злоумышленники используют URL, похожие на адреса реальных брендов, и максимально достоверно воспроизводят дизайн легитимных страниц. Для получения «награды» предлагается ответить на несколько простых вопросов. После этого пользователь становится «распространителем схемы» уже среди своих друзей: он должен лайкнуть страницу, «расшарить» пост на своей странице Facebook или поделиться с 20 контактами в WhatsApp, чтобы получить вознаграждение. При этом на фальшивом сайте он видит окно Facebook, где постоянно обновляются отзывы от счастливых обладателей приза, которые благодарят компанию за полученные подарки.

Пользователь нажимает кнопку «Поделиться», и, сам того не подозревая, вовлекает друзей в мошенническую схему. Его самого перенаправляют на сторонние ресурсы, которые предлагают сомнительные товары и услуги, например, сайты знакомств, платные сервисы по просмотру видео-контента, товары «магазинов на диване» и др. Тип веб-сайта, на который перенаправляется жертва трафферов, зависит от страны, устройства и языка пользователя. Он просматривает огромное количество разного рода рекламы, в лучшем случае оставаясь ни с чем, в худшем попадая на вредоносный ресурс. То же самое проделывают все его друзья и их друзья, если следуют алгоритму Lotsy.

Lotsy использует распространенную мошенническую схему, позволяющую заработать на рекламном трафике, однако на этот раз они сделали ставку на розницу, увеличили языковой охват, а количество ресурсов мошеннической сети в несколько раз превышает более ранние кампании. Группы типа Lotsy используют схожие инструменты: активно рекламируемые фальшивые розыгрыши и лотереи от имени крупных брендов, обманом заставляют пользователей посещать десятки веб-сайтов, начиная от ресурсов, которые побуждают жертву согласиться на дорогие платные подписки и установить нежелательные программы и заканчивая вредоносными сайтами. С начала их активности летом 2017 года дизайн и общий вид поддельных сайтов остаются достаточно высокого качества. По нашим данным, за последние 2 года от деятельности Lotsy пострадали более 100 брендов.

Илья Рожнов

Руководитель направления Brand Protection в сингапурском офисе компании

Траферы с большой дороги

Система Group-IB Brand Protection выявила как минимум 114 доменов, задействованных в этой схеме, 28 из которых продолжали работать на момент подготовки этого текста. Сети траферов, как правило, содержат множество «зеркал» фальшивых сайтов, которые могут быть активированы за считанные минуты. Все мошеннические ресурсы Lotsy обладают сходствами в доменных именах (использование слов «corn», «voucher», «regalo» в большинстве доменов), доменных расширениях (.win, .top, .money, .gratis и т. д.) и содержании почти все они используют идентичные шаблоны для коротких опросов. Большинство веб-сайтов были зарегистрированы в период с конца 2018 года до начала 2019 года.

В отличие от большинства траферов, рассчитывающих на быстрый «развод», Lotsy стараются действовать осторожно: чтобы избежать обнаружения, они никогда не используют названия брендов марки в доменах второго уровня. Некоторые из доменов, обнаруженных аналитиками Brand Protection компании Group-IB, использовались только для перенаправления пользователей и не содержали никакого контента. Для того, чтобы скрыть свои следы, мошенники постоянно «переезжают» на разные хостинги.

Такого рода мошенничество может нанести компаниям как репутационный, так и финансовый ущерб, комментирует Илья Рожнов, Обманутые клиенты быстро делают выводы: после негативного опыта многие теряют доверие к торговой сети и ее акциям, направленным на лояльность покупателей. Компаниям необходимо оперативно выявлять и блокировать ресурсы, которые незаконно используют их бренды онлайн. Люди, как правило, больше доверяют ссылкам, которыми делятся их друзья. Такие фальшивые веб-сайты, использующие подобные схемы для продвижения, охватывают широкую аудиторию быстрее, чем легитимные ресурсы, использующие традиционные методы привлечения трафика.

Илья Рожнов

Руководитель направления Brand Protection в сингапурском офисе компании

Как не стать жертвой мошенников