Hola Mi nombre es Vitaly Andreev y trabajo como experto líder en el negocio de ÉTICA en Infosecurity. Durante el año pasado, he acumulado muchos ejemplos de varios esquemas fraudulentos populares que me gustaría compartir, y al mismo tiempo analizar algunas tendencias del mundo de la suplantación de identidad y la ingeniería social.
Todos los días, se registran en la red alrededor de mil nuevos nombres de dominio, que es muchas veces más que la cantidad de sitios realmente activos. Sería inútil y muy largo considerar todos los escenarios de su uso en el marco de un artículo, por lo que solo hablaremos de algunos de ellos, a saber, el uso de nombres de dominio con fines fraudulentos.
El problema del phishing y la ingeniería social puede afectar absolutamente a cualquier usuario de la red. Tropezar con un sitio de phishing o encontrarse con otra manifestación de ingeniería social es mucho más fácil que, por ejemplo, recoger un troyano (aunque lo más probable es que se lo envíen utilizando métodos de ingeniería social). ¿Por qué decidí comparar la ingeniería social con el drama? Porque se basa en el mismo principio de construcción de la trama que en una obra de arte, y la víctima se encuentra en el corazón mismo de una especie de actuación.
Un buen nombre de dominio es la mitad del éxito para un sitio de phishing o estafa. Pero los buenos dominios no se revolcan en el camino, por lo que los estafadores registran por adelantado paquetes de nombres de dominio adecuados, dejándolos esperar en el ala. Más claramente, la situación se puede ver en el ejemplo de los bancos. Cada semana, se registran aproximadamente mil quinientos dominios con una partícula de "banco". Además, cuanto más popular es el banco, más dispuesto a obtener un nombre de dominio consonante.
Por ejemplo, en febrero, las variaciones de los nombres de dominio que contenían las palabras "sberbank", "bonus" y el número "3000" fueron muy populares. Solo mira:
- bonus3000-sberbank.ru
- sberbank-darit-3000.ru
- podarok3000-sberbank.ru
- sberbank-3000bonus.ru
- sberbank3000.ru
- 3000sberbank.ru
Y una docena más de opciones similares en diferentes diseños.
Todos estos dominios comparten dos detalles comunes. En primer lugar, se registraron a través de la compañía Beget y, en segundo lugar, no conducen a ninguna parte.
Para comprender el propósito de registrar estos dominios, no necesita tener ningún conocimiento secreto o habilidades especiales, solo ingrese las palabras mágicas "Sberbank bonus 3000" en cualquier motor de búsqueda. En la salida obtenemos ejemplos típicos de revisiones:
Me registré en Sberbank en línea por un bono de 3.000 rublos. Ingresé las contraseñas por SMS y resultó que había retirado 30,000 rublos de mi tarjeta en CH Debit RUS mOSCOW QIWI AFT. ¿Cómo puedo recuperar el dinero?
Tenía 120,000 mil en el mapa. Quitaron todo. Y menos fue a 30 mil
Aparentemente, alguien iba a revivir el viejo esquema que permitía a los atacantes obtener acceso a la cuenta bancaria de la víctima, y los nombres de dominio solo esperaban en las alas.
La siguiente palabra más popular en el vecindario del banco de palabras es el sondeo. Aquí es aún más fácil: solo mira la carpeta de spam en tu bandeja de entrada, donde los encabezados de las cartas gritarán sobre el pago que te espera.
Si sigue el enlace de la carta, se encontrará aproximadamente en dicho sitio.
Según los resultados de su respuesta a una docena de preguntas francamente estúpidas, se le pedirá amablemente que ingrese los detalles de su tarjeta bancaria, dónde, lógicamente, debe pagar y, de hecho, de dónde cancelar el dinero. Sin embargo, en algunos casos, los estafadores ni siquiera se molestan en disfrazar su estafa e indicar en forma de ingreso de datos en texto sin formato que está pagando por el teléfono móvil de otra persona.
Todo este esquema es muy primitivo, pero es sorprendente que en los últimos meses se haya incrementado activamente en Google e Instagram, lo que no puede dejar de agregar a los ciudadanos confiables a su confiabilidad.
Por cierto, estas encuestas de Sberbank provienen de opros@sberbank.ru.
Quiero señalar de inmediato que Sberbank fue elegido como ejemplo simplemente porque el banco más grande siempre ha atraído la atención de varios tipos de estafadores. La lógica aquí es simple: la probabilidad de que entre las víctimas potenciales que recibieron un correo electrónico de phishing sean los clientes de este banco en particular siempre es bastante alta. Sin embargo, muchos dominios sospechosos aparecen junto con los nombres de otras marcas conocidas.
Por ejemplo, mire la dirección del sitio web del programa de bonificación VimpelCom. En este caso, el nombre de dominio no lleva al menos algún tipo de carga semántica. El programa generador obviamente funcionó aquí, porque los sitios con encuestas a menudo cambian de alojamiento y se mueven de dominio a dominio.
A veces hay sitios sin mencionar la marca en absoluto. Encuesta del año y el punto!
De hecho, todas estas estafas de encuestas son un esquema de fraude de pagos ligeramente modificado. Solo que ahora también es necesario responder preguntas.
Siempre fui escéptico sobre el desempeño de tales esquemas fraudulentos, son demasiado torpes. Uno está escrito en la carta, otro en el sitio web y el tercero al retirar dinero.
Para la pureza del experimento, específicamente apagué todos los filtros en el buzón de prueba y ahora parece que todo el mundo de repente decidió darme dinero. No preste atención a las diferentes fechas en las cartas: se tomaron capturas de pantalla durante todo el año y ahora se han seleccionado las versiones más interesantes y características de las cartas.
Y aquí está mi favorito. ¡Siempre soñé con ganar la nominación al Repost of the Year!
Curiosamente, tales correos se están transformando ante nuestros ojos. Y si hace medio año, la mayoría de las cartas contenían enlaces directamente al sitio de la estafa, pero ahora en esas cartas hay un enlace a un archivo que se encuentra en un almacenamiento en la nube como Dropbox. Un enlace en este archivo conduce a un sitio malicioso. Esto se hace para evitar los filtros de correo no deseado.
Una cosa es invariable: no importa el aspecto del sitio y la marca que cubra, terminará en este tipo de página.
Presta atención a la inscripción "transferencia de tarjeta a tarjeta": los chicos no se esfuerzan en absoluto.
Estás leyendo este artículo ahora y probablemente pienses que una estafa tan primitiva no puede funcionar. Pero, desafortunadamente, esto no es así. Por supuesto, las estadísticas oficiales y confiables sobre tales fraudes sociales no existen en la naturaleza. Pero dada la escala de correos y la cantidad de sitios similares, podemos decir con certeza: el esquema funciona. Los estafadores simplemente no desperdiciarán su energía y dinero en algo que no les genere ingresos.
Pero volvamos a nuestros dominios. El phishing y el fraude florecen no solo en nuestro país. En febrero, el banco turco Denizbank no tuvo suerte (está incluido en los 5 principales bancos del país). En solo un mes, aparecieron más de 4 docenas de dominios en la red, de una forma u otra conectados con su nombre. Como en la historia anterior, todos están registrados a través del mismo registro de la empresa y no están vinculados a ningún recurso. Se parecen a esto:
- tr-sube-denizbankasi.com
- bireysel-denizbank-sube-tr.com
- denizbankk-sube-tr.com
- denizbank-cep-tr.com
- en línea-denizbank-sube.com
- denizbank-cepte-tr.com
- acikdeniz-denizbanksube.com
- deniz-denizbank.com
Y así sucesivamente.
Otro banco turco, Halkbank, no obtuvo menos.
Por supuesto, no tengo evidencia de que estos dominios estén registrados con fines ilegales. Pero esos nombres de dominio son una especie de "rifle Chekhov": un día ciertamente "dispararán", porque teniendo en cuenta sus nombres, es lógico suponer que están diseñados para engañar a los clientes de estas organizaciones.
Con los dominios que usan el nombre del banco, todo está más o menos claro, pero también sucede que el nombre incluye el "banco" de partículas en combinación con el nombre de la ciudad o país.
Por ejemplo, a principios de este año, alguien decidió seriamente hacer el dominio y en un par de semanas creó varios cientos de nombres de la forma: "*** bank.com", "firstbankof ***. Com", "nationalbankof ***. Com "," *** savingsbank.com "y simplemente" bankof ***. Com "(los asteriscos reemplazan el nombre de una ciudad o país importante). ¿Por qué decidí que esto está domaining? Sí, solo si visita uno de estos sitios, verá una página con una propuesta para comprar un dominio y un enlace a afternic.com, que actualmente no está disponible.
Pero es mucho más interesante cuando, en lugar de dominios estacionados, surge un sitio web fraudulento real, especialmente si se creó de manera creativa.
Un buen ejemplo de un enfoque creativo es fpb-bank.ru. Compruébelo usted mismo: el nombre se tomó de Finprombank, que perdió su licencia en 2017, el diseño y el contenido se copiaron completamente del ucraniano ShvidkoGroshi (http://sgroshi.com.ua/).
El sitio ofreció enviar escaneos de sus documentos para registrarse a su nombre, crédito de
un día de la compañía en dólares. Desafortunadamente, el recurso desapareció tan rápido como apareció, por lo que no se conservó una copia ni siquiera en el archivo web. Lo que es característico, en este caso, el nombre de dominio se registró por adelantado, mucho antes de que apareciera el sitio.
Las excavaciones en el espacio de dominio a veces presentan sorpresas reales o se dejan completamente perdidas. Pero espero dedicar un artículo separado a los eventos curiosos y misteriosos encontrados en la red.
