Специалисты Group-IB обнаружили новые мошеннические схемы, связанные с пополнением счета в магазине PlayStation Store и продажей игровой валюты в мобильной игре Brawl Stars. Суммарно было обнаружено около 250 мошеннических ресурсов известных брендов и разработчиков игр, куда злоумышленники нагоняют трафик.
Фишинговый сайт магазина PlayStation Store был обнаружен в конце мая в ходе исследования сети мошеннических ресурсов, торгующих фейковыми виртуальными картами. Проблема с официальной оплатой в PS Store возникла после того, как 10 марта Sony остановила продажи консолей и работу своего виртуального магазина в России. Теперь злоумышленники предлагают россиянам приобрести подарочные карты-ваучеры для пополнения счета в PlayStation Store.
Стремясь создать искусственный дефицит (и заработать больше!), владельцы фейковых сайтов уверяют, что карт номиналом 500 рублей, 1000 рублей, 1500 рублей и 2000 рублей якобы уже нет в наличии, в продаже остались только ваучеры на сумму от 2500 до 6 000 рублей. В ход идет социальная инженерия: ресурс публикует отзывы «счастливых» геймеров, якобы купивших карты. Это усыпляет бдительность новых жертв.
Заманив пользователей, мошенники перенаправляют их на фиктивные шлюзы оплаты — таким образом похищают данные банковских карт и снимают деньги. Анализ сайта лишь одного подобного сайта с помощью графа сетевой инфраструктуры Group-IB выявил, что ресурс связан с целой сетью мошеннических сайтов, нацеленных на пользователей в России.
Изучая эту мошенническую кампанию, направленную на геймеров, специалисты Group-IB обнаружили повышенную активность траферов. Мошенники, используя фиктивную рекламу, заманивали пользователей на свои сайты, где обещали бесплатно сгенерировать различные бонусы для игр или онлайн-сервисов. Цель подобных сайтов — перенаправить пользователей на партнерский ресурс, в котором он попадал на рекламный баннер, фишинговый сайт, мошеннический сайт c опросом или сайт с ВПО. Такой нелегитимный способ привлечения трафика приносит существенный заработок авторам подобных ресурсов, а пользователям в лучшем случае безрезультатно затраченное время, а в худшем потерю учетных данных и денег.
По данным аналитиков, только к середине мая 2022 года было выявлено 246 ресурсов, на которых располагались страницы эксплуатирующие имена всемирно известных продуктов и компаний. Около 160 ресурсов представляли знаменитые бренды и 115 популярных разработчиков игр и онлайн-сервисов. Суммарное количество посетителей этих сайтов составило более 2,2 млн человек в месяц.
В целом, по данным Group-IB, мошенническая схема затрагивает различные индустрии, но чаще всего траферы создают фейковые сайты под брендами мобильных игр, особенно популярных среди детей. К примеру, Brawl Stars, где игрокам могут предлагать игровую валюту со скидкой, значительно дешевле, чем во внутриигровом магазине. Далее обычно запрашивают данные для входа в учетную запись, например, Google Play или Apple ID, чтобы получить впоследствии к ней доступ.
Траферы привлекают людей на свои сайты через социальные сети, Telegram-каналы, блоги и таргетированную рекламу. Они стараются убедить целевую аудиторию в работоспособности подобных сайтов, рассказывая, как легко с их помощью «хакнуть» игру или получить бонусы.
Переходя по ссылке из рекламного объявления или блога, пользователь попадает на страницу, стилизованную под известный бренд. Там его просят ввести свои личные данные, например, никнейм из сервиса или игры, выбрать операционную систему, а также бонусы для зачисления. Сайт имитирует подключение к службам сервиса или игры, проверку никнейма и генерацию бонусов. Очень часто на подобных онлайн ресурсах присутствует фейковый чат пользователей сайта, где они обсуждают результаты работы сайта и его тематику.
После «успешной генерации» пользователь получает сообщение, что для завершающего этапа получения бонусов необходимо перейти по ссылке на сайт-партнера.
Пользователей из России зачастую переводят на мошеннические сайты-опросники, рекламные баннеры, фишинг или сайты со встроенным вредоносным программным обеспечением. Жителей Европы чаще «подписывают» на различные сервисы, розыгрыши призов или бонусные карты бытовых магазинов. В Азии может запуститься установка сторонних расширений для браузера, реклама региональных магазинов, доставка ценных призов или реклама казино и бинарных опционов.
«Траферы зарабатывают на том, что привлекают пользователей на фейковые сайты: суммарное количество посетителей подобных сайтов составляет более 2,2 млн человек в месяц, — предупреждает Евгений Егоров, ведущий аналитик Group-IB Digital Risk Protection.— Потраченное впустую время или принудительная подписка на спам-рассылку — это не самая главная проблема. Посещая мошеннические ресурсы, геймеры рискуют потерять деньги, данные банковских карт, занести на свое устройство нежелательное ПО».