Хабрахабр

[Из песочницы] Социальная инженерия как драматургия, или что общего у фишингового домена и «чеховского ружья»

image

Здравствуйте! Меня зовут Виталий Андреев и я работаю ведущим экспертом направления ETHIC в компании «Инфосекьюрити». За последний год у меня накопилось много примеров различных популярных мошеннических схем, которыми я бы хотел поделиться, а заодно и проанализировать некоторые тенденции из мира фишинга и социальной инженерии.

Рассматривать все сценарии их использования в рамках одной статьи было бы бессмысленно и очень долго, поэтому поговорим лишь о некоторых из них, а именно об использовании доменных имен в мошеннических целях.
Проблема фишинга и социальной инженерии может коснуться абсолютно любого пользователя сети. Ежедневно в сети регистрируются около тысячи новых доменных имен, что в разы превышает число действительно активных сайтов. Почему я решил сравнить социальную инженерию с драматургией? Наткнуться на фишинговый сайт или столкнуться с другим проявлением социальной инженерии куда проще, чем, скажем, подхватить троян (хотя и его вам скорее всего пришлют, используя методы социальной инженерии). Потому, что в её основе лежит примерно такой же принцип построения сюжета, что и в художественном произведении, а жертва оказывается в самом сердце своеобразного спектакля.

Но хорошие домены на дороге не валяются, поэтому мошенники пачками регистрируют подходящие доменные имена заранее, оставляя их ждать своего часа. Удачное доменное имя – половина успеха для фишингового или мошеннического сайта. Каждую неделю регистрируется примерно полторы тысячи доменов с частицей «bank». Нагляднее всего ситуация просматривается на примере банков. Причем чем популярнее банк, тем больше желающих заиметь себе созвучное доменное имя.

Вот только посмотрите: Например, в феврале были очень популярны вариации доменных имен, содержащих слова «sberbank», «bonus» и число «3000».

  • bonus3000-sberbank.ru
  • sberbank-darit-3000.ru
  • podarok3000-sberbank.ru
  • sberbank-3000bonus.ru
  • sberbank3000.ru
  • 3000sberbank.ru

И еще полтора десятка аналогичных вариантов в разном исполнении.

Во-первых, они были зарегистрированы через компанию «Бегет», а во-вторых, все они ведут в никуда. Все эти домены объединяют две общие детали.

На выходе получаем типичные примеры отзывов:
Для того, чтобы понять цель регистрации этих доменов, не нужно обладать какими-либо секретными знаниями или специальными навыками, достаточно всего лишь ввести магические слова «сбербанк бонус 3000» в любом поисковике.

По смс вводил пароли и оказалось, что с моей карты сняли 30000 рублей в CH Debit RUS mOSCOW QIWI AFT. Зарегистрировался в Сбербанк онлайн за бонус в 3000 рублей. Как мне вернуть деньги?

000 тысяч. У меня на карте было 120. И в минус зашли на 30 тысяч Сняли все.

Судя по всему, кто-то собрался возродить старую схему, позволявшую злоумышленникам получать доступ к банковскому счету жертвы, а доменные имена просто ждут своего часа.

Тут все еще проще: просто загляните в папку «спам» в вашем почтовом ящике, где заголовки писем будут кричать о выплате, которая вас ожидает. Следующее по популярности слово, встречающееся по соседству со словом «банк», это «опрос».

Если вы перейдете по ссылке из письма, то вы окажетесь примерно вот на таком сайте.

image

Однако, в некоторых случаях мошенники даже не удосуживаются замаскировать свою аферу и в форме ввода данных прямым текстом указывают, что вы оплачиваете чей-то мобильный телефон. По итогам ответа на десяток откровенно дурацких вопросов вас любезно попросят ввести данные своей банковской карты, куда по логике должны произвести выплату, а по факту откуда списать денежные средства.

Вся эта схема примитивная донельзя, но удивляет тот факт, что в последние месяцы она активно форсится в Google и Instagram, что не может не добавить доверчивым гражданам веры в ее работоспособность.

image

К слову, настоящие опросы от Сбербанка приходят с адреса opros@sberbank.ru.

Логика тут проста: вероятность того, что среди потенциальных жертв, получивших фишинговое письмо, окажутся клиенты именно этого банка, всегда достаточно высока. Сразу хочу отметить, что Сбербанк был выбран в качестве примера просто потому, что самый крупный банк всегда привлекает внимание различного рода мошенников. Впрочем, немало подозрительных доменов появляется и в связке с названиями других известных брендов.

image

image

В данном случае, доменное имя вообще не несет хоть какой-то смысловой нагрузки. Например, посмотрите на адрес сайта бонусной программы VimpelCom. Здесь явно поработала программа-генератор, ведь сайты с опросами часто меняют хостинг и переезжают с домена на домен.

Опрос года и точка! Иногда встречаются сайты и вовсе без упоминания бренда.

image

Только теперь еще и на вопросы надо отвечать. На самом деле все эти разводы с опросами – это слегка модифицированная схема мошенничеств с выплатами.

image

В письме написано одно, на сайте – другое, при выводе денег – третье. Я всегда скептически относился к работоспособности таких мошеннических схем, уж слишком они топорные.

image

Не обращайте внимание на разные даты в письмах — скриншоты делались в течение всего года и сейчас были выбраны самые интересные и характерные варианты писем. Для чистоты эксперимента, я специально отключил все фильтры в тестовом почтовом ящике и теперь он выглядит так, словно весь мир внезапно решил дать мне денег.

image

image

Всегда мечтал выиграть в номинации «Репост года»! А вот мое любимое.

image

И если еще полгода назад в большинстве писем содержались ссылки непосредственно на сайт мошенников, то теперь в таких письмах имеется ссылка на файл, лежащий в облачном хранилище типа Dropbox. Что любопытно, такие рассылки трансформируются на глазах. Это делается для того, чтобы обойти почтовые спам-фильтры. А ссылка в этом файле ведет уже на вредоносный сайт.

image

Неизменно одно: как бы ни выглядел сайт и именем какого бренда он бы ни прикрывался, в итоге вы окажетесь на подобного рода странице.

image

image

Обратите внимание на надпись «перевод с карты на карту» — ребята совсем не напрягаются.

Но, к сожалению, это не так. Вы сейчас читаете эту статью и наверняка думаете, что настолько примитивный развод не может сработать. Но учитывая масштабы рассылок и количество подобных сайтов, можно сказать однозначно: схема работает. Конечно, официальной и достоверной статистики, касающейся таких социальных мошенничеств, не существует в природе. Мошенники просто не будут тратить силы и деньги на то, что не приносит им доход.

Фишинг и мошенничества процветают не только в нашей стране. Но вернемся к нашим доменам. Всего за месяц в сети появилось более 4 десятка доменов, так или иначе связанных с его названием. В феврале не повезло турецкому банку Denizbank (входит в топ-5 банков в стране). Выглядят они примерно так: Как и в предыдущей истории все они зарегистрированы через одну и ту же компанию-регистратора и не привязаны ни к одному ресурсу.

  • tr-sube-denizbankasi.com
  • bireysel-denizbank-sube-tr.com
  • denizbankk-sube-tr.com
  • denizbank-cep-tr.com
  • online-denizbank-sube.com
  • denizbank-cepte-tr.com
  • acikdeniz-denizbanksube.com
  • deniz-denizbank.com

И так далее.

Не меньше досталось и другому турецкому банку – Halkbank.

Но такие доменные имена – это своеобразное «чеховское ружьё»: однажды они непременно «выстрелят», ведь с учетом их названий, логично предположить, что они призваны вводить в заблуждение клиентов этих организации. Конечно, доказательств того, что эти домены зарегистрированы в противоправных целях, у меня нет.

С доменами, использующими наименование банка, все более-менее понятно, но бывает и так, что в имени фигурирует частица «банк» в сочетании с названием города или страны.

Почему я решил, что это домейнинг? Вот, например, в начале этого года кто-то всерьез решил заняться домейнингом и за пару недель создал несколько сотен имен вида: «***bank.com», «firstbankof***.com», «nationalbankof***.com», «***savingsbank.com» и просто «bankof***.com» (звездочки заменяют название какого-нибудь крупного города или страны). Да просто если вы перейдете на один из этих сайтов, вы увидите страницу с предложением купить домен и ссылку на сайт afternic.com, который в данный момент недоступен.

image

Но, куда интереснее, когда вместо припаркованных доменов вырисовывается реальный мошеннический сайт, особенно если к его созданию подошли творчески.

Посмотрите сами: название взято у лишившегося лицензии еще в 2017 году «Финпромбанка», дизайн и наполнение полностью скопированы с украинского «ШвидкоГрошi» (http://sgroshi.com.ua/). Хороший пример творческого подхода — сайт fpb-bank.ru.

image

К сожалению, ресурс исчез столь же стремительно, как и появился, поэтому копия его не сохранилась даже в веб-архиве. На сайте предлагали отправить сканы своих документов для оформления на ваше имя фирмы-однодневки долларового кредита. Что характерно, и в этом случае доменное имя было зарегистрировано заранее, задолго до появления самого сайта.

Но курьезным и загадочным событиям, встречающимся в сети, я надеюсь посвятить отдельную статью. Иногда раскопки в доменном пространстве преподносят реальные сюрпризы или вовсе оставляют в недоумении.

image

Показать больше

Похожие публикации

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»