Мошенники атакуют клиентов французских железных дорог: двухэтапная схема с использованием утечки данных 2024 года

Схема состоит из двух чётко разделённых этапов. На первом жертва получает электронное письмо с заманчивым предложением большой скидки на абонемент или билеты SNCF. Мошенники тщательно выбирают время рассылки: она приурочена к французским школьным каникулам, которые приходятся на октябрь, декабрь, февраль, апрель, июль и август. В эти периоды люди активно планируют поездки семьёй и легче поддаются на обещания выгоды.

Поддельные веб-сайты, на которые ведут ссылки из писем, максимально точно копируют официальный портал SNCF. Доменные имена включают знакомые слова вроде "avantages" (преимущества), "offres" (предложения) или "sncf-connect". Например, домен avantage-offres[.]com активировался в декабре 2024 года, T-mail-avantages[.]com - в апреле 2025-го, а sncf-connect[.]net - в июле 2025-го. Внешний вид сайтов настолько реалистичен, что жертвы не замечают даже очевидных признаков подделки, таких как странный адрес отправителя письма.

Ключевая особенность схемы - использование легитимных платёжных систем. Когда жертва выбирает товар на фальшивом сайте, её перенаправляют на реальную страницу оплаты Stripe - известного международного сервиса. Это почти полностью снимает подозрения у покупателя. Однако, как выяснили аналитики, мошенники нашли лазейку в правилах самой платформы. Чтобы оспорить платеж, жертва должна сначала открыть обращение о злоупотреблении. К тому моменту, когда платформа начинает разбирательство, злоумышленники уже забирают деньги, и банку клиента становится крайне сложно провести расследование и вернуть средства.

На этом первый этап не заканчивается. В ходе оплаты жертва передаёт не только деньги, но и личные данные: имя, адрес электронной почты, номер телефона. Именно эти сведения запускают второй этап.

На следующий день после "покупки" жертве звонит человек, представляющийся сотрудником её банка. Он сообщает, что в банковском приложении обнаружена подозрительная транзакция, и предлагает помощь. Злоумышленник ловко играет на эмоциях: сначала напоминает о том, что жертва попалась на уловку мошенников, а затем даёт ложное чувство облегчения, обещая заблокировать платеж и вернуть деньги. Доверчивый собеседник охотно выполняет инструкции лжебанкира - сообщает секретный код подтверждения, добавляет в свой аккаунт чужой международный номер банковского счёта (IBAN) или одобряет переводы. В реальности все эти действия дают мошеннику доступ к счетам и позволяют вывести ещё больше средств.

Жертвы сами оставляют свидетельства в публичных форумах. Они признаются, что сначала получили письмо, а на следующий день - звонок от "банковского советника". Одна из пострадавших рассказала, что её попросили продиктовать код безопасности для блокировки первого мошеннического платежа, после чего с её счёта списали ещё несколько тысяч евро.

Как выяснили специалисты Group-IB, мошенники не действуют вслепую. Все жертвы ранее фигурировали в утечке данных, опубликованной на форуме в сентябре 2024 года под названием Addka72424. Адреса электронной почты пострадавших оканчиваются на .fr или принадлежат популярным французским почтовым сервисам, а номера телефонов начинаются на 06 или 07. Атака нацелена исключительно на клиентов SNCF, говорящих по-французски, и не затрагивает пользователей из других стран.

Последствия такой атаки могут быть катастрофическими для отдельного человека. Мало того что жертва теряет деньги, уплаченные за несуществующий товар, так ещё и лишается средств со своего счета - вплоть до полного опустошения. Вернуть украденное крайне трудно из-за пробелов в политике возмещения платёжных систем и длительных процедур банковских расследований.

Специалисты Group-IB подчёркивают, что эта схема демонстрирует рост сложности социальной инженерии. Пассивное фишинговое письмо уже не является главным инструментом. Злоумышленники активно взаимодействуют с жертвой по телефону, используя подробные сценарии и манипулируя доверием и страхом. Они хорошо изучили поведение своих целей и процессы компаний, которых имитируют.

Подобные атаки становятся всё более популярными в эпоху электронной коммерции. Каждый сезон распродаж, праздничные даты и туристические периоды создают идеальные условия для запуска таких кампаний. Организаторы схемы могут с лёгкостью адаптировать её под любой бренд или событие, что делает угрозу массовой и повторяющейся. Клиентам крупных сервисов стоит помнить: если предложение выглядит слишком заманчивым, это почти наверняка ловушка.

IPv4

• 103.224.182.242
• 176.65.139.100
• 185.161.209.176
• 185.178.208.163
• 185.221.19.8
• 185.225.210.8
• 193.143.1.151
• 35.241.18.84
• 45.125.66.34
• 52.223.13.41
• 91.215.85.183

URLs

• avantages-promotion-sncf.com/offres/
• carte-avantage-promotion.com/offres/
• lesavantagesdesoffres.com/
• macarteavantage.live/promo/catalogue
• promotion-avantages.com/pages/login.php
• sncf-avantage.com/pages/login.php
• sncfcarte-avantages.com/pages/login.php
• sncf-connect-affiliation.com/
• sncf-espaceoffres.com/pages/login.php
• sncfoffre-avantages.com/pages/login.php
• sncf-offre-avantages.com/pages/login.php
• sncf-pass-avantages.com/pages/login.php

Emails

• ebusinessgroup@zenithbank.com
• equipe-sncf@carte-avantagepromo.eu1.r.hs-inbox.com
• info@mail.sncfconnect.com
• mail@info-sncf-connect.com
• merci@mail-redirect-promotion.com
• merci@mail-sncf-connect.com
• merci@sncf.connect-commande.com
• newsletter@businessmint.com
• newsletter@zenithbank.com
• noreply@ambassador-cloud.biz
• no-reply@beyondcool.co.jp
• rahulshitole@yahoo.fr
• sncfconnect@t-mail-avantages.com