O campanie de fraudă la scară largă, cu peste 700 de nume de domenii, vizează probabil utilizatorii vorbitori de limba rusă care încearcă să achiziționeze bilete pentru Jocurile Olimpice de vară de la Paris.
Operațiunea oferă bilete false pentru Jocurile Olimpice și pare să profite și de alte evenimente importante din domeniul sportului și muzicii.
Cercetătorii care analizează campania o numesc Ticket Heist și au descoperit că unele dintre domenii au fost create în 2022, iar actorul de amenințare a continuat să înregistreze în medie 20 de domenii noi în fiecare lună.
În ultima parte a anului 2023, cercetătorii de la compania de informații cu privire la amenințări QuoIntelligence au observat o creștere a discuțiilor despre Jocurile Olimpice de la Paris, programate să înceapă în această vară, pe 26 iulie.
Fiindcă acest eveniment a fost întotdeauna folosit pentru influențe geopolitice și în contextul deciziei Comitetului Olimpic Internațional de a interzice participarea sportivilor ruși și belaruși sub drapelul țării lor, cercetătorii au continuat să monitorizeze subiectul și să caute activități online suspecte.
QuoIntelligence a ținut sub observație cuvinte cheie specifice (de exemplu: bilet, Paris, reducere, ofertă) folosite în noile domenii înregistrate și a descoperit operațiunea Ticket Heist, care se bazează pe 708 de domenii care găzduiesc site-uri convingătoare ce pretind că vând bilete valide și oferă opțiuni de cazare pentru Jocurile Olimpice de la Paris.
Primele astfel de domenii descoperite au fost ticket-paris24[.]com și tickets-paris24[.]com, cel din urmă fiind un clone al primului.
„În ciuda unor mici greșeli de ortografie și gramatică, probabil datorate traducerii directe din rusă în engleză, site-ul și experiența utilizatorului său erau comparabile cu cele ale unui site de înaltă clasă” – QuoIntelligence
Interacțiunea utilizatorului creată de operatorii Ticket Heist pentru vizitatori pare legitimă și încurajează implicarea cu site-ul și selectarea de bilete.
Într-un raport de astăzi, cercetătorii spun că același cadru UI este prezent pe toate site-urile legate de Ticket Heist, cu doar mici variații în conținut și limbă care fac diferența între site-urile frauduloase.
În afara designului site-urilor, ceea ce iese în evidență în schemă este prețul biletelor false oferite. QuoIntelligence remarcă că prețurile sunt umflate în comparație cu cele legitime.
„De exemplu, un eveniment aleatoriu și o locație alocată pe site-ul oficial ar putea costa mai puțin de 100 de euro, în timp ce aceleași bilete și locații pe site-urile frauduloase erau vândute cu minim 300 de euro, ajungând adesea la 1.000 de euro” – QuoIntelligence
Cercetătorul de amenințări de la QuoIntelligence, Andrei Moldovan, a declarat pentru BleepingComputer că, deși nu există confirmare, prețurile mai mari ar putea face parte dintr-o strategie de a face ca victimele să creadă că primesc un „tratament premium” pentru banii extra, deoarece biletele nu sunt disponibile prin canalele oficiale de distribuție.
În mod alternativ, un preț mai mare ar putea face, de asemenea, ca victimele să creadă că este vorba despre o operațiune de revânzare care profită de penuria de bilete.
Încercând să-și testeze teoriile despre obiectivul Ticket Heist și să adune informații care ar putea duce la identificarea celor din spatele acesteia, QuoIntelligence a încercat o achiziție de pe unul dintre site-urile frauduloase.
Au descoperit că toate tranzacțiile sunt realizate prin platforma de procesare a plăților Stripe și banii sunt transferați doar atunci când cardul are fonduri suficiente.
Aceasta înseamnă că obiectivul operatorului nu este de a colecta informații despre cardul de credit, ci de a fura bani de la victimă.
Mai mult, acest test a relevat și numele companiei VIP Events Team LLC, care a fost creată pe 26 noiembrie 2021 și este încă activă, dar site-ul său nu a fost niciodată indexat de motoarele de căutare publice.
„Domeniul a fost înregistrat în aceeași zi în care a fost înființată compania. Nu există mențiuni despre VIP Events Team LLC pe Google, rețelele de socializare, TrustPilot sau orice alte surse OSINT disponibile” – QuoIntelligence
Cercetătorii spun că, deși compania pare să fie înregistrată în New York, secțiunea „contactați-ne” de pe ticket-paris24[.]com listează compania din spatele acestuia ca fiind situată în Tbilisi, Georgia.
Analizând infrastructura din spatele operațiunii Ticket Heist, cercetătorii au descoperit că toate domeniile frauduloase au fost găzduite la aceeași adresă IP, 179[.]43[.]166[.]54, care aparține unui furnizor legat de activități dăunătoare de către mai multe servicii.
În timp ce fiecare site are un certificat SSL unic, QuoIntelligence a observat un model în structura numelor de domenii și a subdomeniilor unice utilizate.
Au observat că subdomeniile includ adesea jswidget, widget-frame sau widget-api, care, combinate cu înregistrările DNS și fișierele JavaScript comune, i-au ajutat să descopere întreaga rețea de 708 domenii.
Lunar, actorul de amenințare înregistra în medie 20 de domenii noi, dar în noiembrie numărul a înregistrat o creștere semnificativă, cu 50 de domenii noi create.
În prezent, 98% din domeniile legate de Ticket Heist sunt considerate curate de malware de către serviciile de analiză crowdsourced, ceea ce susține teoria că obiectivul este de a fura direct de la victime printr-un serviciu de plată legitim.
Evenimentele olimpice de la Paris nu au fost singurele momeală în operațiunea Ticket Heist. Frauderii au încercat, de asemenea, să atragă victime cu bilete false pentru Campionatul European de Fotbal din acest an.
QuoIntelligence a descoperit mai multe site-uri în limba engleză care ofereau bilete pentru acest eveniment sportiv.
În plus, cercetătorii au descoperit site-uri implicate în această activitate frauduloasă care pretindeau că vând bilete la concerte de muzică cu trupe celebre precum Twenty One Pilots, Iron Maiden, Metallica, Rammstein și muzicieni (Bruno Mars, Ludovico Einaudi).
În aceste cazuri, cercetătorii spun că biletele false erau pentru concerte în jurul Moscovei și altor mari orașe din Rusia.
Deși aceste pagini erau în limba engleză, QuoIntelligence spune că majoritatea site-urilor Ticket Heist erau doar în limba rusă, sugerând că utilizatorii vorbitori de limba rusă erau principalul obiectiv al operațiunii.
Un alt indicator care duce la această concluzie este prezența detaliilor de contact folosind numere de telefon de la servicii mobile rusești.
„Clar, acest lucru nu este o dovadă de 100% că intenția este de a viza persoanele vorbitoare de limba rusă, dar multe indicatoare și descoperiri indică în această direcție,” a declarat Moldovan.
Site-urile de escrocherie care pretind că vând bilete pentru Jocurile Olimpice de la Paris au fost raportate anterior. Gendarmeria Națională Franceză a avertizat luna trecută că a descoperit 338 de site-uri frauduloase, multe găzduite în afara țării.
Într-un raport diferit, compania de securitate cibernetică Proofpoint a avertizat cu privire la un astfel de site care era promovat prin rezultate sponsorizate de motoarele de căutare.
Pe Reddit, un utilizator s-a plâns că a fost păcălit după ce a încercat să cumpere un bilet de la paris24tickets[.]com.
Deși QuoIntelligence nu a putut verifica cum a fost efectuată tranzacția deoarece site-ul nu mai este activ, Moldovan spune că, pe baza resurselor arhivate, site-ul era complet diferit în ceea ce privește infrastructura de găzduire, configurația rețelei și interfața utilizatorului.
Cu toate aceste exemple, QuoIntelligence spune că operațiunea Ticket Heist este în desfășurare și nu a fost raportată în cercetările publice, arătând că mai mulți escroci încearcă să capitalizeze pe Jocurile Olimpice din acest an.
Compania de informații cu privire la amenințări oferă un set de indicatori de compromitere (IoCs) pentru operațiunea Ticket Heist, pe care comunitatea de securitate cibernetică îi poate folosi pentru a-și proteja clienții.
FBI avertizează cu privire la firmele de avocatură false care vizează victimele escrocheriilor cu criptomonede
FBI avertizează cu privire la anunțurile false de muncă la distanță folosite pentru fraudă cu criptomonede
Executivii unei firme de date, condamnați pentru ajutarea escrocilor să vizeze persoanele în vârstă
Un indian a furat 37 de milioane de dolari în criptomonede folosind un site fals Coinbase Pro
FBI avertizează cu privire la un inel de fraudă cu carduri cadou care vizează companiile de retail
Leave a Reply