Group-IB, международная компания, специализирующаяся на предотвращении кибератак и разработке продуктов для информационной безопасности, вновь фиксирует рост числа регистраций доменов, нелегально эксплуатирующих тематику ХХI Чемпионата мира по футболу FIFA 2018. За три месяца число таких доменов увеличилось на 13,5% и на данный момент составляет 42 000. Относительно мая прошлого года этот показатель составил порядка 40%. Опасной тенденцией является использование официальной рекламы для продвижения мошеннических сайтов в топ-выдаче поисковиков, а также интенсивное задействование групп в социальных сетях: суммарно их охват составляет 1 млн подписчиков.
Впервые эксперты Group-IB представили аналитику по десяткам тысяч потенциально опасных сайтов, зарегистрированных под ЧМ2018, в феврале этого года. В названиях их доменов активно используются такие слова как «FIFA», «Russia», «WorldСup2018», «tickets», «чемпионат мира» и их различные комбинации. В феврале 2018 года количество этих сайтов составляло 37 000. Уже в мае эта цифра достигла отметки в 42 000 и продолжает расти.
Количество доменов, эксплуатирующих тематику FIFA2018, достигло 42 000
Количество неофициальных доменов, зарегистрированных под ЧМ2018,
за три месяца с февраля по май выросло на 13,5%
Директор департамента инновационной защиты бренда и интеллектуальной собственности Group-IB
В Group-IB считают серьёзной проблемой рост свежих регистраций сайтов: среди них как «перекупщики», взвинтившие цены до 150 000-300 000 рублей, так и мошенники, которые оставляют своих жертв без билетов и денег. Значительную часть обнаруженных ресурсов составляют, так называемые «спящие домены» на данный момент они не активны, однако развертывание фишингового или любого иного мошеннического контента на уже зарегистрированном домене, это вопрос нескольких часов.
Кто следит за рекламной выдачей?
Кроме того, по сравнению с ситуацией на май 2017 года в два раза выросло количество рекламы в интернете, выводящейся на приоритетные позиции в поисковой выдаче. Group-IB обнаружила порядка 1000 подобных рекламных объявлений, ведущих на мошеннические сайты, где предлагается купить или продать свой билет на Чемпионат мира FIFA 2018, а также снять жилье в российских городах на период проведения мундиаля. Очевидно, такие ресурсы создаются в обход официальных, зачастую копируя их доменные имена с небольшими различиями, на которые часто не обращают внимание пользователи.
Официальные сайт welcome2018.com (справа) и различные его неофициальные вариации: welcome2018.me и welcome18.com.ru. На момент подготовки материала все они активны и не заблокированы
С начала года в Центр реагирования на инциденты информационной безопасности CERT Group-IB начали поступать жалобы на сайты, торгующие билетами на ЧМ. Некоторые болельщики не успели приобрести билеты через официальную процедуру жеребьевки на сайте fifa.com, зато при попытке поиска возможностей для похода на игры ЧМ2018 наткнулись на множество мошеннических сайтов в рекламной выдаче поисковиков. «Сайты-перекупщики наживаются на высоком спросе при нулевом предложении официальных билетов», говорится в обращении, поступившем в CERT. Некоторые из ресурсов, например, russiafifa.ru были заблокированы. В другом обращении клиентская служба Координационного центра национального домена сети Интернет сообщила в CERT о сайте worldcuprus2018.ru, который занимается несанкционированной продажей билетов на ЧМ2018 и собирает персональные данные. Ресурс был заблокирован, однако сотни сайтов в Интернете остаются активными, в том числе месяцами находящиеся в топе рекламной выдачи Яндекса и Google.
Социальные сети: имя им миллион
Помимо махинаций с билетами, обнаруженные сайты создаются для продаж контрафактной сувенирной продукции, распространения вирусов, кражи данных банковских карт и др. Активное продвижение идет через социальные сети. По оценкам аналитиков Group-IB, суммарный охват созданных групп в социальных сетях, незаконно использующих символику FIFA, составляет более 1 000 000 подписчиков. В частности, впервые Group-IB фиксирует таргетированное задействование Instagram: эта площадка используется для заманивания пользователя на мошеннический сайт, например, с помощью розыгрышей билетов и обещаний призов.
Пример продвижения мошеннических сайтов через массированную рекламу в Instagram
Директор департамента инновационной защиты бренда и интеллектуальной собственности Group-IB
Активная регистрация доменов началась после того, как в декабре 2010 года представители Международной футбольной ассоциации в Цюрихе назвали Россия хозяйкой Чемпионата мира ’2018. Начиная с 2014 году наблюдался рост количества регистраций таких доменов: в 2014 году, когда появилось порядка 3 тыс имен, в 2015 4 тыс, в 2016 5,5 тыс, а в 2017 еще 13,5 тысяч. По состоянию на май 2018 года их уже 42 000 (рост к предыдущему году + 40%).
Напомним, что в России с февраля этого года действует федеральный закон, запрещающий использование символики международной федерации футбола и продажу входных билетов организациями без заключения соответствующего договора с FIFA или его уполномоченными организациями. Билеты должны продаваться только на официальном ресурсе fifa.com. Стоимость билетов первой категории у перекупщиков достигает 375 тысяч рублей, в то время, как на официальном сайте FIFA цена не превышает 66 тысяч. За спекуляцию и подделку билетов на ЧМ-2018 грозят штрафы от 50 тысяч до 1,5 миллионов рублей.