Ένα νέο κακόβουλο δίκτυο (Ticket Heist) με περισσότερα από 700 domain names στοχεύει πιθανώς ρωσόφωνους χρήστες που θέλουν να αγοράσουν εισιτήρια για τους Ολυμπιακούς Αγώνες στο Παρίσι.
Αυτό το δίκτυο απάτης προσφέρει πλαστά εισιτήρια για τους επερχόμενους Ολυμπιακούς Αγώνες, καθώς και για άλλα μεγάλα αθλητικά και μουσικά events.
Οι ερευνητές ονόμασαν την κακόβουλη καμπάνια «Ticket Heist» και διαπίστωσαν ότι ορισμένοι από τα domains, είχαν δημιουργηθεί ήδη από το 2022 και οι επιτιθέμενοι συνέχιζαν να καταχωρούν 20 νέα (κατά μέσο όρο) κάθε μήνα.
Ψεύτικα εισιτήρια για τους Ολυμπιακούς Αγώνες σε υψηλές τιμές
Στα τέλη του 2023, ερευνητές της QuoIntelligence παρατήρησαν αυξημένη συζήτηση για τους Ολυμπιακούς Αγώνες στο Παρίσι. Πρόκειται για μια διοργάνωση με γεωπολιτικό ενδιαφέρον. Ταυτόχρονα, η απόφαση της Διεθνούς Ολυμπιακής Επιτροπής να απαγορεύσει τη συμμετοχή Ρώσων και Λευκορώσων αθλητών με τη σημαία της χώρας τους, έχει τραβήξει το ενδιαφέρον και οι ερευνητές αναζητούν ύποπτη δραστηριότητα στο διαδίκτυο.
Δείτε επίσης: Γιατί η κυβερνοασφάλεια είναι κρίσιμη για τους Ολυμπιακούς Αγώνες του 2024 στο Παρίσι;
Η QuoIntelligence παρακολουθούσε συγκεκριμένες λέξεις-κλειδιά (π.χ. εισιτήριο, Παρίσι, έκπτωση, προσφορά) που χρησιμοποιούνται σε νέα καταχωρημένα domains. Ψάχνοντας ανακάλυψε την κακόβουλη επιχείρηση Ticket Heist, η οποία βασίζεται σε 708 domains. Αυτά φιλοξενούν ιστότοπους που ισχυρίζονται ότι πωλούν έγκυρα εισιτήρια και προτείνουν επιλογές διαμονής για τους Ολυμπιακούς Αγώνες στο Παρίσι, στις 26 Ιουλίου.
Τα πρώτα domains που ανακαλύφθηκαν ήταν το ticket-paris24[.]com και το tickets-paris24[.]com.
Οι ερευνητές παρατήρησαν ότι όλα τα sites, που συνδέονται με την επιχείρηση Ticket Heist, έχουν παρόμοιο UI με μικρές παραλλαγές στο περιεχόμενο και τη γλώσσα.
Ωστόσο, το πιο ενδιαφέρον σε αυτή την καμπάνια (πέρα από τα πολλά πειστικά sites) είναι η τιμή των ψεύτικων εισιτηρίων. Η QuoIntelligence σημειώνει ότι οι τιμές είναι αρκετά πιο υψηλές σε σύγκριση με τα νόμιμα εισιτήρια. Σε κάποιες περιπτώσεις, οι τιμές μπορεί να φτάνουν και τα 1.000 ευρώ.
Ο ερευνητής της QuoIntelligence, Andrei Moldovan, είπε στο BleepingComputer ότι, ενώ δεν υπάρχει καμία επιβεβαίωση, οι υψηλότερες τιμές θα μπορούσαν να είναι τέχνασμα για να κάνουν τα θύματα να πιστέψουν ότι λαμβάνουν «premium treatment» για τα επιπλέον χρήματα, καθώς τα εισιτήρια δεν είναι διαθέσιμα μέσω των επίσημων καναλιών διανομής.
Επίσης, τα θύματα μπορεί να πιστεύουν ότι αγοράζουν σε υψηλότερες τιμές λόγω της έλλειψης εισιτηρίων.
Οι ερευνητές επιχείρησαν να αγοράσουν εισιτήριο από έναν από τους δόλιους ιστότοπους για να μελετήσουν την κακόβουλη δραστηριότητα. Διαπίστωσαν ότι όλες οι συναλλαγές πραγματοποιούνται μέσω της πλατφόρμας πληρωμών Stripe και τα χρήματα μεταφέρονται μόνο όταν η κάρτα έχει επαρκή χρήματα. Αυτό σημαίνει ότι ο στόχος του χειριστή δεν είναι να συλλέξει πληροφορίες πιστωτικής κάρτας αλλά να κλέψει χρήματα από το θύμα.
Δείτε επίσης: Ολυμπιακοί Αγώνες στην Γαλλία: Προετοιμάζεται για κυβερνοεπιθέσεις
Επιπλέον, αυτή η δοκιμή αποκάλυψε επίσης την επωνυμία της εταιρείας VIP Events Team LLC, η οποία δημιουργήθηκε στις 26 Νοεμβρίου 2021 και εξακολουθεί να είναι ενεργή.
«Το domain κατοχυρώθηκε την ίδια μέρα που ιδρύθηκε η εταιρεία. Ωστόσο, δεν υπάρχουν αναφορές για VIP Events Team LLC στη Google, στα μέσα κοινωνικής δικτύωσης, στο TrustPilot ή σε άλλες διαθέσιμες πηγές OSINT» – QuoIntelligence
Επιπλέον, ενώ φαίνεται ότι η εταιρεία εδρεύει στη Νέα Υόρκη, η ενότητα «contact us» στο ticket-paris24[.]com αναφέρει ότι η εταιρεία βρίσκεται στο Tbilisi, Georgia.
Οι ερευνητές ανακάλυψαν ότι τα δόλια domains φιλοξενούνταν στην ίδια διεύθυνση IP, 179[.]43[.]166[.]54, που ανήκει σε έναν πάροχο και συνδέεται με κακόβουλες δραστηριότητες.
Επί του παρόντος, το 98% των domains που συνδέονται με την Ticket Heist θεωρούνται καθαρά από κακόβουλο λογισμικό κάτι που υποστηρίζει τη θεωρία ότι ο στόχος είναι η απευθείας κλοπή χρημάτων από τα θύματα, μέσω μιας νόμιμης υπηρεσίας πληρωμών.
Οι Ολυμπιακοί Αγώνες στο Παρίσι είναι μια πολύ σημαντική διοργάνωση και γι’ αυτό οι κυβερνοεγκληματίες την εκμεταλλεύονται για να εξαπατήσουν ανυποψίαστα θύματα.
Η QuoIntelligence λέει ότι η επιχείρηση Ticket Heist βρίσκεται σε εξέλιξη δείχνοντας ότι πολλοί απατεώνες προσπαθούν να επωφεληθούν από τους Ολυμπιακούς Αγώνες φέτος.
Δείτε επίσης: Ticketmaster: Hackers διέρρευσαν print-at-home εισιτήρια για 154 events
Η εταιρεία παρέχει ένα σύνολο δεικτών παραβίασης (IoC) για τη λειτουργία Ticket Heist, που μπορεί να χρησιμοποιηθεί από την κοινότητα κυβερνοασφάλειας για την προστασία των πελατών.
Πώς μπορούν οι χρήστες να αναγνωρίσουν ψεύτικες ιστοσελίδες;
Πριν να προχωρήσουν στην αγορά εισιτηρίων για τους Ολυμπιακούς Αγώνες, οι χρήστες πρέπει να είναι προσεκτικοί και να ελέγχουν τις σελίδες εξετάζοντας καλά τη διεύθυνση URL. Οι ψεύτικες ιστοσελίδες συχνά χρησιμοποιούν διευθύνσεις που μοιάζουν με τις πραγματικές, αλλά περιέχουν μικρές διαφορές, όπως πρόσθετα γράμματα ή αριθμούς.
Ένας άλλος τρόπος για να αναγνωρίσουν οι χρήστες ψεύτικες ιστοσελίδες είναι να ελέγξουν την ασφάλεια της ιστοσελίδας. Οι αυθεντικές ιστοσελίδες χρησιμοποιούν πιστοποιητικά SSL, που εμφανίζονται ως ‘https://’ στη διεύθυνση URL και συνοδεύονται από ένα εικονίδιο κλειδαριάς.
Επίσης, ιδιαίτερη προσοχή πρέπει να δίνεται σε ιστοσελίδες που ζητούν προσωπικές πληροφορίες ή στοιχεία πληρωμής χωρίς να παρέχουν επαρκείς πληροφορίες για την ασφάλεια και την προστασία των δεδομένων.
Η ποιότητα του περιεχομένου μπορεί επίσης να είναι ενδεικτική απάτης. Οι ψεύτικες ιστοσελίδες συχνά περιέχουν γραμματικά λάθη, κακή σύνταξη και γενικά χαμηλή ποιότητα κειμένου, καθώς και εικόνες χαμηλής ανάλυσης.
Γενικά, οι χρήστες θα πρέπει να επισκέπτονται την επίσημη ιστοσελίδα ενός event για να είναι σίγουροι ότι θα βρουν νόμιμα εισιτήρια (π.χ. για Ολυμπιακούς Αγώνες).
Πηγή: www.bleepingcomputer.com
