Как мошенники продают авиабилеты

Сегодня «Коммерсант» пишет об увеличении числа фейковых сайтов авиабилетов. По просьбе журналиста разбирался в ситуации и наш эксперт, Леонид Чуриков. Мы для оценки посмотрели на то, как изменилось число регистрации доменов. Обычно это очень яркий показатель, по которому можно судить о росте мошенничества. Наши данные не показывают такой катастрофичной ситуации с фишингом билетных сайтов, рост регистрации доменов есть, но в рамках сезонного повышения интереса к теме.

Например, в этом году в марте было зарегистрировано 114 доменов с корнем avia, месяцем раньше – 135. Это немногим больше, чем в карантинном марте 2020 года, тогда было зарегистрировано 101. Нет бума регистраций и доменов, мимикрирующих под известные авиакомпании и агрегаторы (Aeroflot, skyscanner, aviasales и т.п.) Есть отдельные регистрации доменов типа ANYWAYANYDAYS.ru, но сайт недоступен.

Более заметен рост регистраций доменов со словом tour, многие сайты пока стоят пустыми или выставлены на продажу, но есть вероятность, что будут использоваться под фишинг.

Тем не менее в ситуации повышенного спроса нужно быть супер бдительными. Опишем, насколько эффективной схемой пользуются мошенники. В результатах поиска Google по запросу «купить авиабилеты» попадается ресурс https://gk-transimport.ru (точнее попадался еще вчера, сегодня уже недоступен!) Самое неприятное в том, что он выходил не в органической выдаче, а по контекстной рекламе. Сайт имеет все признаки фишинга: домен зарегистрирован 25 марта и на частное лицо, не совпадают название сайта и бренд, многие кнопки не функционируют. Номер телефона, указанный на сайте, все время занят, а небольшие изыскания в интернете показывают, что на него уже есть жалобы как на мошеннический (люди заплатили деньги за несуществующий билет).

При этом жалобы датированы февралем, люди жалуются на номер телефона. Очевидно, что мошенники обкатали схему, используют одно и то же наполнение сайта на разных доменах.

«ГК ТрансИмпорт» – название реальной компании, но она занимается не продажей билетов. Судя по всему, мошенники зарегистрировали домен и используют, чтобы «не пропадать» добру.

На сайте предлагается ввести все персональные данные, включая паспортные и платежные, а также произвести оплату вероятно несуществующего билета.

Как распознать, что сайт скорее всего фишинговый?

1. На него «ругается» антивирус – не пренебрегайте предупреждениями, что сайт опасен.

2. Сервис whois говорит, что сайт зарегистрирован недавно и каким-то private person.

3. Ограниченная функциональность ресурса. Мошенники научились делать очень правдоподобные подделки, но часто это все равно минимально достаточный «уровень качества». Дальше главной страницы не пройти, часть кнопок на сайте может не работать, изображения могут быть плохого качества и т.д.

4. Часто достаточно лишь небольшого изыскания в интернете, чтобы понять, что перед вами мошенники. Чтобы узнать это про «билетный сайт» https://gk-transimport.ru было достаточно попробовать позвонить по указанному номеру телефона, а после поискать, кому он принадлежит. И интернет тут же выдал жалобы пострадавших, которые купили перелет у мошенников и предупреждали об этом других потенциальных жертв.

5. Но даже если ресурс кажется вам хорошо знакомым, на всякий случай проверьте, чтобы название было верно написано. Тайпсквоттинг – любимый прием мошенников (напишут skiscanner.ru или ANYWAYANYDAYS.ru – не каждый заметит ошибку). Среди других любимых приманок – лишние знаки (например, wwwskyscanner.ru), мимикрия под служебные страницы (tutu-pay.ru, aviasales-order.ru и т.п.)

О том, какие приемы были любимыми у мошенников-фишеров в 2020 году, мы писали большой отчет тут.

А тут писали, как отличить от настоящего фишинговое письмо.