Kampanye penipuan skala besar dengan lebih dari 700 nama domain kemungkinan menargetkan pengguna berbahasa Rusia yang ingin membeli tiket Olimpiade Musim Panas di Paris.
Operasi ini menawarkan tiket palsu untuk Olimpiade dan tampaknya mengambil keuntungan dari acara olahraga dan musik besar lainnya.
Peneliti yang menganalisis kampanye tersebut menyebutnya Ticket Heist dan menemukan bahwa beberapa domain dibuat pada tahun 2022 dan pelaku ancaman terus mendaftarkan rata-rata 20 domain baru setiap bulan.
Tiket Olimpiade palsu yang harganya terlalu mahal
Pada akhir tahun 2023, peneliti di perusahaan intelijen ancaman QuoIntelligence memperhatikan peningkatan percakapan tentang Olimpiade di Paris yang dijadwalkan akan dimulai pada tanggal 26 Juli ini.
Karena acara tersebut selalu digunakan untuk pengaruh geopolitik dan keputusan Komite Olimpiade Internasional untuk melarang partisipasi atlet Rusia dan Belarusia di bawah bendera negara mereka, para peneliti terus memantau topik tersebut dan mencari aktivitas mencurigakan daring.
QuoIntelligence mengawasi kata kunci tertentu (misalnya tiket, Paris, diskon, penawaran) yang digunakan di domain yang baru didaftarkan dan menemukan operasi Ticket Heist yang mengandalkan 708 domain yang menghosting situs web meyakinkan yang mengklaim menjual tiket valid dan menyediakan pilihan akomodasi untuk Olimpiade di Paris.
Domain pertama yang ditemukan adalah ticket-paris24[.]com dan tiket-paris24[.]com, yang terakhir merupakan tiruan dari yang pertama.
“Meskipun terdapat kesalahan ejaan dan tata bahasa kecil, mungkin karena terjemahan langsung dari bahasa Rusia ke bahasa Inggris, situs web dan pengalaman penggunanya sebanding dengan situs kelas atas” – QuoKecerdasan
Interaksi pengguna yang dibuat oleh operator Ticket Heist untuk pengunjung tampak sah dan mendorong keterlibatan dengan situs dan pemilihan tiket.
sumber: QuoIntelligence
Dalam laporan hari ini, para peneliti mengatakan bahwa kerangka kerja UI yang sama terdapat di semua situs web terkait dengan Ticket Heist, dengan hanya sedikit variasi dalam konten dan bahasa yang membedakannya dengan situs web palsu.
Selain desain situs web, yang menonjol dalam skema ini adalah harga tiket palsu yang ditawarkan. QuoIntelligence mencatat bahwa harga tiket palsu tersebut lebih tinggi dibandingkan dengan tiket asli.
“Misalnya, acara acak dan lokasi tempat duduk di situs web resmi bisa berharga kurang dari EUR 100, sedangkan tiket dan lokasi yang sama di situs web palsu dihargai minimal EUR 300, seringkali mencapai EUR 1.000” – QuoIntelligence
Peneliti ancaman QuoIntelligence Andrey Moldova mengatakan kepada BleepingComputer bahwa meskipun belum ada konfirmasi, harga yang lebih tinggi bisa jadi merupakan bagian dari tipu daya untuk membuat para korban percaya bahwa mereka mendapatkan “perlakuan premium” untuk uang ekstra tersebut karena tiket tersebut tidak tersedia melalui jalur distribusi resmi.
Atau, harga yang lebih tinggi juga dapat membuat korban percaya bahwa itu adalah operasi calo yang memanfaatkan kekurangan tiket.
Saat mencoba menguji teori mereka tentang tujuan Pencurian Tiket dan mengumpulkan informasi yang dapat mengarah pada siapa dalangnya, QuoIntelligence mencoba melakukan pembelian dari salah satu situs web penipuan.
Mereka menemukan bahwa semua transaksi dilakukan melalui platform pemrosesan pembayaran Stripe dan uang ditransfer hanya jika kartu memiliki dana yang cukup.
Artinya tujuan operator bukanlah mengumpulkan informasi kartu kredit tetapi mencuri uang dari korban.
Lebih jauh lagi, pengujian ini juga mengungkap nama perusahaan VIP Events Team LLC, yang dibuat pada 26 November 2021, dan masih aktif tetapi situs webnya tidak pernah terindeks oleh mesin pencari publik.
“Domain tersebut didaftarkan pada hari yang sama saat perusahaan tersebut didirikan. Tidak ada penyebutan VIP Events Team LLC di Google, media sosial, TrustPilot, atau sumber OSINT lain yang tersedia” – QuoIntelligence
Para peneliti mengatakan bahwa meskipun perusahaan tersebut tampaknya berkantor pusat di New York, bagian “hubungi kami” di ticket-paris24[.]com mencantumkan perusahaan di belakangnya berlokasi di Tbilisi, Georgia.
Dengan menganalisis infrastruktur di balik operasi Pencurian Tiket, para peneliti menemukan bahwa semua domain penipuan dihosting di alamat IP yang sama, 179[.]43[.]166[.]54, milik penyedia dihubungkan ke aktivitas jahat oleh beberapa layanan.
Sementara setiap situs web memiliki sertifikat SSL yang unik, QuoIntelligence menemukan pola dalam struktur domain dan nama subdomain unik yang digunakan.
Mereka mengamati bahwa subdomain sering kali mencakup widget jsBahasa Indonesia: bingkai widgetatau widget-apiyang dikombinasikan dengan catatan DNS dan berkas JavaScript umum, membantu mereka mengungkap seluruh jaringan 708 domain.
Setiap bulan, pelaku ancaman mendaftarkan rata-rata 20 domain baru, tetapi pada November lalu jumlah tersebut mencatat peningkatan signifikan dengan terciptanya 50 domain baru.
Saat ini, 98% domain yang terhubung ke Ticket Heist dianggap bersih dari malware oleh layanan analisis crowdsourced, yang mendukung teori bahwa tujuannya adalah untuk mencuri langsung dari korban melalui layanan pembayaran yang sah.
Acara memikat dan korban
Olimpiade di Paris bukan satu-satunya daya tarik dalam operasi Ticket Heist. Para penipu juga mencoba memikat korban dengan tiket palsu untuk Kejuaraan Eropa UEFA tahun ini.
QuoIntelligence menemukan beberapa situs web berbahasa Inggris yang menawarkan tiket untuk acara sepak bola tersebut.
sumber: QuoIntelligence
Selain itu, para peneliti menemukan situs web dalam aktivitas penipuan ini yang mengklaim menjual tiket konser musik yang menampilkan band-band terkenal seperti Twenty One Pilots, Iron Maiden, Metallica, Rammstein, dan musisi (Bruno Mars, Ludovico Einaudi).
Dalam kasus ini, para peneliti mengatakan bahwa tiket palsu tersebut ditujukan untuk konser di sekitar Moskow dan kota-kota besar lainnya di Rusia.
Meskipun halaman-halaman ini berbahasa Inggris, QuoIntelligence mengatakan bahwa sebagian besar situs web Ticket Heist hanya berbahasa Rusia, yang menunjukkan bahwa pengguna berbahasa Rusia merupakan target utama operasi tersebut.
Indikator lain yang mengarah pada kesimpulan ini adalah adanya rincian kontak menggunakan nomor telepon dari layanan seluler Rusia.
“Jelas, ini bukan 100% bukti bahwa tujuannya adalah untuk menargetkan orang-orang yang berbahasa Rusia, tetapi banyak indikator dan temuan mengarah ke sana,” kata Moldovan kepada kami.
Situs web penipuan yang mengklaim menjual tiket Olimpiade di Paris telah dilaporkan sebelumnya. Gendarmerie Nasional Prancis diperingatkan bulan lalu menemukan 338 situs penipuan, banyak di antaranya dihosting di luar negeri.
Dalam laporan berbeda, perusahaan keamanan siber Proofpoint diperingatkan situs web semacam itu didorong melalui hasil mesin pencari yang disponsori.
Di Reddit, seorang pengguna mengeluh ditipu setelah mencoba membeli tiket dari paris24tickets[.]kom.
Meskipun QuoIntelligence tidak dapat memverifikasi bagaimana transaksi dilakukan karena situs web tersebut tidak lagi aktif, Moldovan mengatakan bahwa berdasarkan sumber daya yang diarsipkan, situs web tersebut benar-benar berbeda dalam hal infrastruktur hosting, konfigurasi jaringan, dan antarmuka pengguna.
Meskipun ada contoh-contoh ini, QuoIntelligence mengatakan bahwa operasi Pencurian Tiket masih berlangsung dan belum dilaporkan dalam penelitian publik, menunjukkan bahwa banyak penipu yang mencoba mengambil keuntungan dari Olimpiade tahun ini.
Perusahaan intelijen ancaman menyediakan serangkaian indikator kompromi (IoC) untuk operasi Pencurian Tiket yang dapat digunakan komunitas keamanan siber untuk melindungi pelanggan mereka.
