Специалисты по информационной безопасности фиксируют рост активности злоумышленников, использующих так называемое SEO-отравление для продвижения поддельных интернет-магазинов. Суть метода проста: взломанные легитимные сайты (например, автошколы или небольшие локальные сервисы) наполняются тысячами страниц с товарами, украденными с реальных торговых площадок. Эти страницы индексируются поисковиками, и ничего не подозревающие пользователи попадают на мошеннический ресурс при поиске нужного устройства или одежды. Жертва вводит данные своей карты, но товар никогда не приходит. Более того, мошенники продолжают пытаться списать деньги и после неудачной первой транзакции. Подробности такой атаки недавно описал независимый исследователь.
Описание
Всё началось с обычного рабочего дня. Один из друзей автора получил фишинговое SMS якобы от банка и решил проверить веб-адрес подозрительного сайта через сервис VirusTotal. Тот показал, что ссылка чиста. Однако домен был зарегистрирован всего несколько месяцев назад, а сам сайт выглядел как универсальный маркетплейс с огромным количеством товаров и нереально низкими ценами. Исследователь решил докопаться до истины и проверил одно из изображений товара через обратный поиск. Оказалось, что все картинки и описания скопированы с реального объявления на eBay. Так он понял, что перед ним мошеннический ресурс.
Чтобы понять масштаб проблемы, автор решил повторить поиск самостоятельно. Он ввёл в Google запрос на популярный калькулятор Texas Instruments TI-nSpire CAS. На второй странице выдачи он заметил странный результат: ссылка вела на сайт школы вождения Desi Driving School, зарегистрированный всего 12 дней назад. Переход по адресу открывал страницу с тем же калькулятором. Файл sitemap.xml вскрыл тысячи похожих объявлений. Это классический пример SEO-отравления - злоумышленники захватывают контроль над сайтом (скорее всего, через уязвимый плагин WordPress или похищенные пароли) и используют его авторитет в глазах поисковиков для привлечения жертв. Как отмечается в публикации исследователя, раньше взломанные сайты применяли для хранения вредоносного кода или управления ботами, но теперь они стали самостоятельным вектором атаки на кошелёк покупателя.
Далее автор решил проверить, что произойдёт, если попытаться что-то купить на таком фейковом маркетплейсе. Он выбрал товар - пиджак Eddie Bauer - и использовал для оплаты одноразовую виртуальную карту с лимитом в пять долларов, созданную через сервис Privacy.com. Страница оформления заказа была точной копией интерфейса Shopify. После ввода данных карты система перенаправила пользователя на промежуточную страницу с анимацией загрузки, напоминающую платёжный шлюз PayPal. Затем появилось окно благодарности, хотя в URL чётко значилось failure_code=failed - карта была отклонена. Первая попытка списания не удалась, но через несколько дней на ту же карту были совершены повторные попытки снятия средств, причём сумма отличалась от цены "купленного" товара. Это говорит о том, что мошенники не просто крадут одноразовый платёж, а сохраняют данные карты и пытаются использовать их снова и снова.
Автор также обнаружил, что многие поддельные маркетплейсы ведут на единый процессинговый центр, зарегистрированный месяц назад и тоже не вызывавший подозрений у VirusTotal. Судя по всему, злоумышленники используют целую сеть взломанных сайтов как точки входа, а центральный узел собирает платёжные данные. Жертва вводит информацию на странице, которая выглядит как официальный магазин, а затем все сведения утекают к организаторам схемы.
Подобные атаки становятся всё изощрённее благодаря доступности инструментов искусственного интеллекта. Мошенники могут за считанные минуты генерировать тысячи страниц с товарами, копируя описания и изображения с реальных площадок. Они эксплуатируют доверие пользователей к высоким позициям в поисковой выдаче и привычку проверять сайты через популярные сервисы. VirusTotal, как показывает практика, не всегда улавливает свежие фишинговые домены, особенно если те замаскированы под легитимные ресурсы.
Вывод, который напрашивается из этого расследования, неутешителен. Рядовому покупателю крайне сложно отличить настоящий интернет-магазин от подделки, если злоумышленники хорошо поработали над копированием контента и используют взломанный, но ранее заслуженный сайт. Единственный способ обезопасить себя - использовать одноразовые виртуальные карты для покупок на незнакомых ресурсах и всегда проверять не только дату регистрации домена, но и реальное происхождение товара через обратный поиск изображений. Для бизнеса же важнейшим уроком остаётся своевременное обновление CMS и плагинов, а также строгая политика паролей: каждый взломанный сайт становится инструментом в руках преступников, которые не остановятся, пока схема приносит деньги.
Индикаторы компрометации
Domains
- abralipedema.com.br
- curencares.in
- desidrivingschool.com
- dryoff.onetoll.shop
- offup.japanhold.shop
- popeye.fivedemo.shop
- shirleymcgrady.com
- sydney.nbcsi.com
- yzoqrbiuar.asia
