"Подорожная" уязвимость: аферисты переключились на "транспортный" фишинг

Автор фото: SHUTTERSTOCK
Пользование любым электронным продуктом требует соблюдения цифровой гигиены.

В Петербурге наблюдается рост числа мошеннических сайтов, предлагающих пополнить баланс проездных карт. такая схема завлечения жертв применяется впервые.

Специалисты центра реагирования на инциденты Group–IB (CERT–GIB) зафиксировали всплеск активности мошеннических ресурсов для оплаты проезда по российским автомагистралям или в городском транспорте.

Что–то новенькое

Только одна из преступных групп создала 36 доменных имён, мимикрирующих под официальные транспортные ресурсы. Большая часть из них действовали под видом сайтов пополнения счёта "Подорожника". При попытке пополнить транспортную карту мошенники предлагают жертве ввести её номер, после чего сайт начинает проводить якобы её проверку. Оплата происходит по поддельной Системе быстрых платежей. В итоге мошенники крадут деньги с банковской карты и её данные.
Помимо "Подорожника" мошенники создали ресурсы по оплате проезда по автомагистралям. Иногда на том же сайте начинку меняли на оплату штрафов ГИБДД. Как уточнили в пресс–службе Group–IB для "ДП", в списке зарегистрированных доменных имён, связанных с выявленной мошеннической схемой, были домены с названиями типа highways, avtodor, tskad, podorognik, troyka и их вариациями. При этом отдельных доменов под ЗСД пока замечено не было.
В Group IB подчёркивают, что впервые зафиксировали фишинговую схему, приманкой в которой является пополнение транспортной карты. В компании посоветовали придерживаться правил цифровой гигиены и помнить, что оплата оказанных услуг происходит только на официальных сайтах или терминалах.

Хакерам не по пути

Проездные (как петербургский "Подорожник", так и московская "Тройка") давно являются объектом мошеннических схем. Но раньше это касалось в основном дампинга карт — их взламывали, чтобы они давали бесплатные поездки. В 2019 году в Сети распространилось большое количество мобильных приложений, которые позволяли выполнить подделку баланса, записанного на электронном кошельке проездного, на условиях анонимности рассказал "ДП" хакер, знакомый с процессом взлома.
По его словам, сейчас защиту усовершенствовали. Но в Telegram до сих пор существуют хакеры, которые создают приложения для взлома карт и продают их за криптовалюту через ботов.
"Теперь, конечно, ситуация совсем другая. Серверы уже давно сразу проверяют состояние баланса. Так что любые изменения сразу отправляют “Тройку” в бан при проезде в метро и с небольшой задержкой в автобусах. У “Подорожника” защита изначально была чуть лучше — серверы синхронизировались гораздо быстрее", — рассказал он и добавил, что до сих пор существуют схемы обхода защиты. Например, в Москве хакеры генерируют себе проезды на ТАТ (троллейбус–автобус–трамвай), которые пишутся даже на забаненные "Тройки".
"Сейчас, насколько мне известно, используют совсем другую уязвимость. Записывают месячные проездные или билеты, которые по какой–то причине не проверяются", — заметил он.
По словам хакера, многие используют взломанные карты просто потому, что за это никак не наказывают. "Если ты попробуешь пройти и карта в блоке, то она просто будет пищать, словно на ней нет денег. На экране высветится: “карта нерабочая”. Но это бывает и когда записанный проездной закончился. А у контролёров в автобусах тоже прямой связи с серверами нет. Ловят только дураков, которые у входов ломаные карты продают", — описывает он ситуацию.
В комитете по транспорту Петербурга не смогли оперативно предоставить "ДП" комментарий по ситуации.
Автор: "ДП"
В 2022 году активность дампинга транспортных карт минимальна за всё время наблюдения, заметили в Group IB. "Для пользователей, которые захотят попробовать обмануть системы оплаты проезда, опасность начинается с программного обеспечения, которое необходимо для функционирования схемы. Чаще всего это приложения для Android–смартфонов, распространяемые не через официальные магазины приложений, а через сторонние ресурсы. Это многократно повышает вероятность того, что оно окажется как неработоспособным, так и вредоносным. И это не говоря об ответственности перед законом. Прецеденты привлечения к ответственности были", — поясняют в компании.

Работают профессионалы

В "Лаборатории Касперского" рассказали, что фишинг до сих пор остаётся одной из самых популярных схем наряду с телефонным мошенничеством. "Иногда фишинговые ресурсы сделаны довольно правдоподобно, и их действительно трудно отличить от настоящих. Но всегда найдётся деталь, по которой можно определить подделку. Чтобы не попасться на удочку мошенников, стоит избегать переходов по ссылкам из подозрительных ресурсов, писем или сообщений от незнакомых людей, внимательно проверять корректность написания адреса сайта и текста на нём, прежде чем вводить какие–либо данные", — советует Ольга Свистунова, контент–аналитик "Лаборатории Касперского".
По наблюдениям компании, сейчас во всём мире набирает обороты комбинированный инструмент — вишинг, или голосовой фишинг. Человек получает письмо, в котором нет вредоносных ссылок и вложений, но есть сообщение, например, о том, что с его счёта пытаются снять крупную сумму. Чтобы отменить транзакцию, якобы нужно позвонить по указанному номеру телефона. Если жертва попадается на крючок и перезванивает, её начинают "обрабатывать", чтобы выманить конфиденциальные данные, убедить перевести деньги на указанные реквизиты или установить на устройство ПО для удалённого управления.