Group-IB, международная компания, специализирующаяся на предотвращении кибератак и разработке продуктов для информационной безопасности, предупреждает о возрастающем риске приобретения фальшивых билетов и контрафактной атрибутики с использованием товарного знака ХХI Чемпионата мира по футболу FIFA 2018. За последний год количество регистраций потенциально опасных доменных имен по тематике мероприятий FIFA и предстоящего мундиаля в России, выросло на 37% и продолжает расти. На данный момент таких доменов порядка 37 000.
Первый «сигнал» в Group-IB получили в рамках работы по стороннему кейсу. В компанию обратился пользователь с жалобой на интернет-мошенников, которые не доставили ему товар. Проанализировав инфраструктуру сайта, с которого был сделан заказ, аналитики компании обнаружили его связь с группой других ресурсов. Среди них — страницы по продаже билетов на различные мероприятия, а также доменные имена, связанные с Чемпионатом мира по футболу 2018. Создав соответствующие поисковые запросы и отфильтровав нерелевантные, система Group-IB выявила тысячи сайтов, эксплуатирующих в названии слова «FIFA», «Russia», «WorldСup2018», «tickets», «чемпионат мира» и их различные комбинации.
Рост количества доменов, связанных с брендом FIFA, за 20 лет (Group-IB, 2018)
Первые домены такого рода начали появляться еще в 1996 году, примечательно, что они существуют до сих пор. Часть ресурсов были зарегистрированы после объявления России хозяйкой Чемпионата мира’2018 (официально об этом было объявлено 2 декабря 2010 года от лица представителей Международной футбольной ассоциации в Цюрихе), другие появились совсем недавно.
Растущая угроза: динамика появления доменов под ЧМ’2018
Проследив динамику, эксперты Group-IB зафиксировали ежегодный рост количества доменов: сейчас их порядка 37 000. Резкое увеличение началось в 2014 году, когда было зарегистрировано порядка 3 тыс имен, в 2015 — 4 тыс, в 2016 — 5,5 тыс, а в 2017 еще 13,5 тысяч. Как минимум 1500 доменов были созданы целенаправленно под Мировой турнир по футболу FIFA в России: в их названии присутствуют наименование события, страны или города, год проведения и другие атрибуты. Цели регистрации таких доменов могут быть разными: незаконная реализация билетов и контрафактной продукции, кража платежных реквизитов и других данных пользователей с помощью фишинга, распространение вредоносного программного обеспечения, киберсквоттинг и другие распространенные мошеннические схемы. В компании отмечают, что часть доменов активны уже сейчас, часть — зарегистрированы, но пока не содержат контента.
Директор направления Brand Protection Group-IB
Как онлайн мошенники наживаются на крупных мероприятиях: основные этапы организации фишинг-атаки или запуска мошеннической площадки (Group-IB, 2018)
На волне ажиотажа
Изучая сложившуюся ситуацию, в Group-IB сталкивались с самыми разными вариантами мошенничеств. Так, в сети работают сайты и доступны объявления, владельцы которых предлагают билеты с накруткой более 500%.
Скриншот предложения билетов на сайте etickette.com, ticket2018.com. Стоимость билета первой категории достигает 375 тысяч рублей, в то время, как на официальном сайте FIFA цена не превышает 66 тысяч. (Group-IB, 2018)
Скриншот объявления с сайта eBay с фото билетов на финал чемпионата (Group-IB, 2018)
Учитывая принятые FIFA меры безопасности и сложность процедуры приобретения и передачи билетов другим лицам, мошенники создают «серые схемы» онлайн-продажи билетов.
Специалисты Brand Protection Group-IB также обнаружили незаконное использование бренда ЧМ-2018 в контекстной рекламе. После ввода соответствующего запроса в поисковике («билеты ЧМ 2018», «билет на чемпионат мира 2018», «worldcup 2018 tickets» и др.), в ряде случаев на приоритетных рекламных позициях выводятся объявления с предложением покупки билетов, ведущие на неофициальные сайты, например, ticket-fifa2018.com.
Одновременно с мошенниками к мероприятию готовятся нелегальные продавцы. За 3 месяца количество предложений по запросам, связанным с ЧМ-2018, на популярных досках объявлений увеличилось в 12 раз: с 336 до 4200 штук. Чаще всего предлагают приобрести монеты, футболки, брелоки, талисманы. Сейчас активны более 200 групп в ВКонтакте, неправомерно использующих символику ЧМ-2018 или нелегально реализующих сувенирную продукцию. Есть примеры групп, которые предлагают своеобразную услугу помощи с приобретением билетов.
Пример группы в ВКонтакте, предлагающей помощь в покупке билетов на ЧМ2018 (Group-IB, 2018)
Общее количество предложений о продаже нелегальной сувенирной продукции на досках объявлений с символикой ЧМ-2018 с ноября по январь (Group-IB, 2018)
В Group-IB резюмируют: «Отслеживать „спящие“ еще неактивированные ресурсы и постоянно мониторить возникновение новых — необходимое и логичное действие. То, что подобные сайты до сих пор не заблокированы, говорит об отсутствии или крайне низкой эффективности принимаемых мер по защите бренда ЧМ2018 в онлайн-пространстве. Но самое главное, что от действий мошенников, постоянно разрабатывающих новые сценарии обмана с целью выманивания конфиденциальной информации или денежных средств, могут пострадать и российские, и международные болельщики. Необходимо как можно скорее принять соответствующие технические меры для выявления и устранения этих угроз. Тем более, что подобный опыт в России есть: в преддверии сочинской Олимпиады удалось устранить более 1500 фактов нелегального распространения билетов на 80 ресурсах и 335 случаев неправомерного использования олимпийского символики на 320 ресурсах, включая Facebook, Vk.com, Avito, Ebay».
Отметим, что в России действует федеральный закон, который запрещает использование символики международной федерации футбола и продажу входных билетов организациями без заключения соответствующего договора с FIFA или его уполномоченными организациями. За спекуляцию и подделку билетов на ЧМ-2018 грозят штрафы от 50 тысяч до 1,5 миллионов рублей, соответствующий закон был подписан 5 февраля.
