Un nuevo servicio es una nueva oportunidad. Incluso para los atacantes que rastrean muy rápidamente los últimos negocios.
Por ejemplo, el 6 de mayo, Sberbank lanzó el servicio de Transacción segura, diseñado para proporcionar garantía para el pago de una transacción por parte de sus participantes y proteger sus derechos. SafeCrow, una empresa especializada en la prestación de dichos servicios, actuó como socio técnico del banco.
Se creó una
página correspondiente en el
sitio web del banco, la cuenta personal del servicio se encuentra en un dominio separado: sb-sdelka.ru.
Exactamente una semana después, el 13 de mayo, el recurso sberbank-service.online apareció en la red, imitando el servicio antes mencionado. Vamos a compararlos
Así es como se ve la página de servicio en el sitio web de Sberbank.
Y así, en el sitio de los atacantes.
Un elemento clave de ambas páginas es el botón Crear comercio. Pero si en el sitio web del banco este botón nos lleva a su cuenta personal, en la que se nos ofrece iniciar sesión con el número de teléfono y el código de SMS.
Ese recurso malicioso, sin ninguna explicación, simplemente ofrece ingresar una contraseña.
Conozca el sitio fraudulento más cerca.
Si el
dominio original utilizado por el servicio Sberbank fue registrado por SafeCrow a través de RU-CENTER, la compañía estadounidense Network Solutions actuó como el registrador de nombres de dominio SBERBANK-SERVICE.ONLINE. Al mismo tiempo, el identificador de país en Whois indica Rusia, y en el campo aparece la región RU-NVS, que aparentemente significa Novosibirsk. En el enlace al dominio aparece la dirección de correo: sb.service.help@gmail.com.
El sitio está alojado en la plataforma Wix.com. Y no solo alojado, porque Wix es principalmente un creador de sitios en línea. Observamos el código de la página e inmediatamente vemos:
meta name = "generator" content = "Wix.com Website Builder" . Parece que los atacantes no se molestaron y rápidamente crearon un sitio de phishing directamente en el generador en línea.
Esto, por cierto, lo distingue de otros recursos similares. En los últimos meses, la mayoría de los sitios diseñados para engañar a los clientes de Sberbank se han creado en HTML puro con un toque de JavaScript, o han utilizado algún tipo de motor patentado. Y aquí, incluso las imágenes están alojadas en
static.wixstatic.com/media .
El sitio tiene un certificado SSL válido, por lo que Google Chrome informa cuidadosamente que se puede confiar en el recurso con todo lo más íntimo.
El análisis del código de la página no trae ningún resultado especial. Basura sólida y JavaScript heredados de Wix. El sitio tiene una etiqueta de verificación del sitio de Google y un script de Google Analytics, que, sin embargo, no ha sido raro durante mucho tiempo incluso para los recursos de phishing, ya que todos quieren estudiar el público objetivo.
El área superior del sitio y el pie de página se copian con mayor o menor precisión del sitio del banco, sin embargo, el recurso de suplantación de identidad ha perdido la capacidad de escalar completamente y ha perdido las fuentes originales. El menú superior ha sufrido cambios. Algunos enlaces entrarán en el sitio web de Sberbank, pero el número y el nombre de los botones difieren del original, y los botones "Inicio", "Licencia" y "Acuerdo" se refieren a elementos del recurso de phishing. La sección "Licencia" contiene una tabla con los detalles de Sberbank y un enlace a un archivo pdf con un escaneo de la licencia general del Banco Central, que se encuentra en docs.wixstatic.com. La imagen en la página principal fue tomada de la fotografía de Istock.
Para resumir
En su forma actual, el sitio puede ser utilizado como uno de los elementos del esquema criminal. El formulario de ingreso de contraseña, la falta de inicio de sesión y registro sugieren que la víctima que ingresó al sitio ya tendrá una contraseña lista transmitida por los atacantes, es decir, sin ingeniería social, esto claramente no servirá.
A pesar de que en este momento no es posible estudiar todos los detalles del esquema fraudulento, el sitio ahora puede ser una amenaza, ya que claramente tiene la intención de engañar a los clientes del banco.
Informamos a Sberbank PJSC y SafeCrow sobre la amenaza identificada y esperamos que el recurso de phishing deje de existir antes de que aparezcan las primeras víctimas.