В адрес Службы реагирования на компьютерные инциденты KZ-CERT АО «Государственная техническая служба» поступило обращение о зафиксированном фишинговом интернет-ресурсе (далее – ИР) dramtheatrkz.ru с информацией о продаже билетов на спектакли в 6 городах Республики Казахстан.
Фишинговый ИР, представленный мошенниками как официальный ИР Драматического театра, распространялся в казахстанском сегменте Интернет с использованием интернет-рекламы. Визуально мошеннический ИР очень трудно отличить от настоящего.
На главной странице фишингового ИР, представленного как официальный ИР Драматического театра, размещена афиша и вся информация по спектаклям, включая информацию об исполнителях ролей в спектаклях. При выборе спектакля и нажатии кнопки «Купить» пользователю представляется следующая форма для заполнения: ФИО, телефон, выбор города с выпадающего списка (Нур-Султан, Алматы, Актобе, Караганда, Шымкент и Павлодар), выбор времени показа спектакля и места.
После заполнения выставляется сумма в размере 16 500 тенге и кнопка перехода к оплате, которая осуществляет перенаправление на фишинговую форму, где запрашиваются персональные данные пользователей и реквизиты банковской карты, в том числе CVV-код. Соответственно, после ввода всех необходимых данных купленный билет так и не доходит до жертвы.
Проведенный анализ инцидента информационной безопасности позволил экспертам KZ-CERT выявить аналогичный по всем разделам фишинговый ИР, представленный уже как Драматический театр им. Гончарова (Россия).
При анализе и сравнении с другими официальными ИР театров России было установлено, что выявленные фишинговые ИР копируют данные с Государственного Петербургского драматического театра «Приют комедианта». Все имеющиеся разделы фишингового ИР идентичны, только изменены названия театров (раздел История театра) и места их расположения (раздел Контакты).
В настоящее время мошеннический ИР, благодаря помощи российских коллег, на территории РК не доступен.
Чтобы не стать жертвой мошеннических интернет-ресурсов Служба KZ-CERT рекомендует:
1. В случае перехода по ссылке обращайте внимание на адресную строку — наименование доменного имени. Обратите внимание на лишние символы в официальном названии организации или компании;
2. Обращайте внимание на публикации организации в социальных сетях, зачастую перед акцией или открытием продаж они дублируют информацию на основном ИР или в официальных аккаунтах социальных сетей;
3. Держите в сохранности, данные вашей банковской карты, никому не сообщайте трехзначный CVV/CVC-код на обратной стороне. Не сообщайте поступающий смс-код от банка
Если Вы стали жертвой инцидента информационной безопасности, просим сообщать нашим специалистам по бесплатному номеру 1400 (круглосуточно) или отправить заявку по ссылке: http://www.cert.gov.kz/notify-incident, или направить письмо на email: incident@kz-cert.kz.
Қазнет кеңістігіндегі драма театры кімге қауіп төндіреді
«Мемлекеттік техникалық қызмет» АҚ KZ-CERT Компьютерлік инциденттерге әрекет ету қызметінің атына Қазақстан Республикасының 6 қаласында спектакльдерге билеттер сату туралы ақпаратымен тіркелген фишингтік dramtheatrkz.ru интернет-ресурс (бұдан әрі – ИР) туралы өтініш келіп түсті.
Алаяқтар драма театрдың ресми ИР ретінде ұсынған фишингтік интернет-ресурс, интернет-жарнаманы пайдалана отырып, Интернеттің қазақстандық сегментінде таратылды. Визуалды алаяқтық ИР шыннан ажырату өте қиын.
Драма театрдың ресми ИР ретінде ұсынылған фишингтік ИР-ның басты бетінде спектакльдер бойынша афиша және барлық ақпарат, соның ішінде спектакльдердегі рөлдерді орындаушылар туралы ақпарат орналастырылған. Спектакльді таңдау және «Сатып алу» батырмасын басу кезінде пайдаланушыға толтыру үшін мынадай нысан ұсынылады: ТАӘ, телефон, көрсетілген тізімнен қаланы таңдау (Нұр-Сұлтан, Алматы, Ақтөбе, Қарағанды, Шымкент және Павлодар), спектакльді көрсету уақыты мен орнын таңдау.
Толтырылғаннан кейін 16 500 теңге мөлшеріндегі сома және фишингтік нысанға қайта бағыттауды жүзеге асыратын төлеуге өту батырмасы қойылады, онда пайдаланушылардың дербес деректері мен банк картасының деректемелері, оның ішінде CVV-код сұратылады. Тиісінше, барлық қажетті деректерді енгізгеннен кейін сатып алынған билет құрбанға жетпейді.
Ақпараттық қауіпсіздік инцидентіне жүргізілген талдау KZ-CERT қызметінің сарапшыларына Гончаров атындағы драма театры ретінде ұсынылған барлық бөлімдер бойынша ұқсас фишингтік ИР анықтауға мүмкіндік берді.
Ресей театрларының басқа ресми ИР талдау және салыстыру кезінде анықталған фишингтік ИР деректерді Санкт-Петербург мемлекеттік драма театрынан «Приют комедианта» көшіретіні анықталды. Фишингтік ИР барлық бөлімдері бірдей, тек театрлардың атаулары (Театр тарихы бөлімі) және олардың орналасқан жерлері (байланыстар бөлімі) өзгертілген.
Қазіргі уақытта ҚР аумағында ресейлік әріптестерінің көмегінің арқасында алаяқтық интернет-ресурс қолжетімді емес.
Алаяқтық интернет-ресурстардың құрбаны болмау үшін KZ-CERT қызметі ұсынады:
1. Сілтеме бойынша ауысқан жағдайда мекенжай жолына — домендік атаудың атауына назар аударуды. Ұйымның немесе компанияның ресми атауындағы қосымша таңбаларға назар аударуды;
2. Ұйымның әлеуметтік желілердегі жарияланымдарына назар аударуды, көбінесе акция немесе сатылымдар ашылғанға дейін олар негізгі интернет-ресурста немесе әлеуметтік желілердің ресми аккаунттарында ақпаратты қайталайды;
3. Банктік картаның мәліметтерін сақтауды, артқы жағындағы үш таңбалы CVV/CVC кодын ешкімге айтпауды. Банктен келіп түскен смс-кодты хабарламауды.
Егерде Сіз ақпараттық қауіпсіздік инцидентінің құрбаны болсаңыз, біздің мамандарға 1400 (тәулік бойы) тегін нөмірі бойынша хабарлауды немесе мына сілтеме: http://www.cert.gov.kz/notify-incident бойынша өтінім жіберуді немесе incident@kz-cert.kz email-не хат жіберуді сұраймыз.
