Group-IB: количество желающих неофициально заработать на Чемпионате мира по футболу 2018 продолжает увеличиваться | F.A.C.C.T.

Group-IB: количество желающих неофициально заработать на Чемпионате мира по футболу 2018 продолжает увеличиваться

Group-IB, международная компания, специализирующаяся на предотвращении кибератак и разработке продуктов для информационной безопасности, вновь фиксирует рост числа регистраций доменов, нелегально эксплуатирующих тематику ХХI Чемпионата мира по футболу FIFA 2018. За три месяца число таких доменов увеличилось на 13,5% и на данный момент составляет 42 000. Относительно мая прошлого года этот показатель составил порядка 40%. Опасной тенденцией является использование официальной рекламы для продвижения мошеннических сайтов в топ-выдаче поисковиков, а также интенсивное задействование групп в социальных сетях: суммарно их охват составляет 1 млн подписчиков.

Впервые эксперты Group-IB представили аналитику по десяткам тысяч потенциально опасных сайтов, зарегистрированных под ЧМ2018, в феврале этого года. В названиях их доменов активно используются такие слова как «FIFA», «Russia», «WorldСup2018», «tickets», «чемпионат мира» и их различные комбинации. В феврале 2018 года количество этих сайтов составляло 37 000. Уже в мае эта цифра достигла отметки в 42 000 и продолжает расти.

Количество неофициальных доменов, зарегистрированных под ЧМ2018, за три месяца  с февраля по май  выросло на 13,5%

Количество доменов, эксплуатирующих тематику FIFA2018, достигло 42 000

Количество доменов, эксплуатирующих тематику FIFA2018, достигло 42 000

Количество неофициальных доменов, зарегистрированных под ЧМ2018,
за три месяца с февраля по май выросло на 13,5%

Как мы прогнозировали ранее, по мере приближения к ЧМ2018 мошенническая активность растет: регистрируются новые домены, нелегально использующие символику мундиаля, и действующие в обход установленных правил приобретения, сдачи и продажи билетов на игры чемпионата. На таких сайтах болельщики в «лучшем» случае просто оставят мошенникам свои персональные данные, в худшем потеряют деньги, так и не увидев матча. Если даже билеты им доставят, то неприятный сюрприз может их ждать уже на досмотре при входе на стадион, где будет осуществляться проверка подлинности FunID и, собственно, билетов.

Андрей Бусаргин
Андрей Бусаргин

Директор департамента инновационной защиты бренда и интеллектуальной собственности Group-IB

В Group-IB считают серьёзной проблемой рост свежих регистраций сайтов: среди них как «перекупщики», взвинтившие цены до 150 000-300 000 рублей, так и мошенники, которые оставляют своих жертв без билетов и денег. Значительную часть обнаруженных ресурсов составляют, так называемые «спящие домены» на данный момент они не активны, однако развертывание фишингового или любого иного мошеннического контента на уже зарегистрированном домене, это вопрос нескольких часов.

Кто следит за рекламной выдачей?

Кроме того, по сравнению с ситуацией на май 2017 года в два раза выросло количество рекламы в интернете, выводящейся на приоритетные позиции в поисковой выдаче. Group-IB обнаружила порядка 1000 подобных рекламных объявлений, ведущих на мошеннические сайты, где предлагается купить или продать свой билет на Чемпионат мира FIFA 2018, а также снять жилье в российских городах на период проведения мундиаля. Очевидно, такие ресурсы создаются в обход официальных, зачастую копируя их доменные имена с небольшими различиями, на которые часто не обращают внимание пользователи.

Официальные сайт welcome2018.com (справа) и различные его неофициальные вариации: welcome2018.me и welcome18.com.ru. На момент подготовки материала все они активны и не заблокированы

Официальные сайт welcome2018.com (справа) и различные его неофициальные вариации: welcome2018.me и welcome18.com.ru. На момент подготовки материала все они активны и не заблокированы

С начала года в Центр реагирования на инциденты информационной безопасности CERT Group-IB начали поступать жалобы на сайты, торгующие билетами на ЧМ. Некоторые болельщики не успели приобрести билеты через официальную процедуру жеребьевки на сайте fifa.com, зато при попытке поиска возможностей для похода на игры ЧМ2018 наткнулись на множество мошеннических сайтов в рекламной выдаче поисковиков. «Сайты-перекупщики наживаются на высоком спросе при нулевом предложении официальных билетов», говорится в обращении, поступившем в CERT. Некоторые из ресурсов, например, russiafifa.ru были заблокированы. В другом обращении клиентская служба Координационного центра национального домена сети Интернет сообщила в CERT о сайте worldcuprus2018.ru, который занимается несанкционированной продажей билетов на ЧМ2018 и собирает персональные данные. Ресурс был заблокирован, однако сотни сайтов в Интернете остаются активными, в том числе месяцами находящиеся в топе рекламной выдачи Яндекса и Google.

Социальные сети: имя им миллион

Помимо махинаций с билетами, обнаруженные сайты создаются для продаж контрафактной сувенирной продукции, распространения вирусов, кражи данных банковских карт и др. Активное продвижение идет через социальные сети. По оценкам аналитиков Group-IB, суммарный охват созданных групп в социальных сетях, незаконно использующих символику FIFA, составляет более 1 000 000 подписчиков. В частности, впервые Group-IB фиксирует таргетированное задействование Instagram: эта площадка используется для заманивания пользователя на мошеннический сайт, например, с помощью розыгрышей билетов и обещаний призов.

Пример продвижения мошеннических сайтов через массированную рекламу в Instagram

Пример продвижения мошеннических сайтов через массированную рекламу в Instagram

Мы все находимся в ожидании большого спортивного праздника, подготовка к которому в России шла последние несколько лет: в стране фактически создана новая высокотехнологичная спортивная инфраструктура под ЧМ2018, принимаются беспрецедентные меры безопасности самих стадионов, территорий вокруг них, а также гостиничных комплексов, транспортных узлов. На фоне этих событий создается впечатление, что Интернет остался за рамками внимания, подтверждением чему является растущее количество доменов, нелегально эксплуатирующих бренд ЧМ2018, мошеннических сайтов, страниц по продаже контрафактной сувенирки, фиктивных предложений по сдаче в аренду квартир и все это с активным продвижением за счет рекламы в поисковиках и социальных сетях. Очевидно, предпринимаемых мер по ограничению несанкционированных действий, связанных с онлайн-торговлей билетами, а также товарами и услугами под ЧМ2018, по-прежнему недостаточно. Мы ожидаем всплеска активности киберпреступников и мошенников в момент пикового интереса к мероприятиям ЧМ2018: во время открытия, проведения или закрытия чемпионата.

Андрей Бусаргин
Андрей Бусаргин

Директор департамента инновационной защиты бренда и интеллектуальной собственности Group-IB

Активная регистрация доменов началась после того, как в декабре 2010 года представители Международной футбольной ассоциации в Цюрихе назвали Россия хозяйкой Чемпионата мира ’2018. Начиная с 2014 году наблюдался рост количества регистраций таких доменов: в 2014 году, когда появилось порядка 3 тыс имен, в 2015 4 тыс, в 2016 5,5 тыс, а в 2017 еще 13,5 тысяч. По состоянию на май 2018 года их уже 42 000 (рост к предыдущему году + 40%).

Напомним, что в России с февраля этого года действует федеральный закон, запрещающий использование символики международной федерации футбола и продажу входных билетов организациями без заключения соответствующего договора с FIFA или его уполномоченными организациями. Билеты должны продаваться только на официальном ресурсе fifa.com. Стоимость билетов первой категории у перекупщиков достигает 375 тысяч рублей, в то время, как на официальном сайте FIFA цена не превышает 66 тысяч. За спекуляцию и подделку билетов на ЧМ-2018 грозят штрафы от 50 тысяч до 1,5 миллионов рублей.

О компании

F.A.C.C.T. — Fight Against Cybercrime Technologies — российский разработчик технологий для борьбы с киберпреступлениями, поставщик решений для детектирования и предотвращения кибератак, выявления мошенничества, исследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети. F.A.C.C.T. создана для работы на рынках России и СНГ путем выделения в автономную структуру бывшего российского актива международной компании Group-IB.

В основе технологического лидерства F.A.C.C.T. — 20-летний практический опыт исследований киберпреступлений по всему миру и более 70 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики и круглосуточном центре оперативного реагирования CERT. Решения компании основаны на знаниях, полученных в ходе реагирований на инциденты и исследований киберпреступности. Они обеспечивают защиту от киберрисков, связанных с целевыми атаками, утечками данных, мошенничеством, фишингом, нелегальным использованием бренда. Продукты F.A.C.C.T. входят в Реестр Отечественного ПО.