يجب أن يبدو موقع التصيد الاحتيالي معقولاً بما يكفي لمطابقة أي من أساطير المجرمين الإلكترونيين. في كثير من الأحيان ، يتم اختيار شيء متعلق بالأمن كخرافة ، مثل هذه الموارد تثير المزيد من الثقة بين الضحايا المحتملين. وهنا مثال جديد على هذا النهج:
sbersecure.ru .
الأحداث في جميع أنحاء الموقع تطورت بسرعة. تم تسجيل اسم النطاق مساء يوم 16 أبريل ، وفي اليوم التالي ظهر موقع تصيد المعلومات عليه. في البداية ، تم تحديد خوادم Hoster Host الروسية على أنها DNS ، ولكن بعد 9 ساعات فقط ، ظهرت عناوين CloudFlare ، وهي شركة لا تحتاج إلى تقديم ، في سجلات NS. 17 أبريل في 15 ساعة بتوقيت موسكو ، حصل المورد على شهادة تشفير صادرة عن CloudFlare نفسه.
ألق نظرة فاحصة على موقع التصيد.
لإنشاء المورد ، تم استخدام طريقة شائعة إلى حد ما للنسخ الجزئي للموقع الأصلي. في هذه الحالة ، أخذ المهاجمون صفحة خدمة أمين المظالم في البنك كأساس ، وتغيير عبارة "خدمة أمين المظالم" إلى "خدمة أمن العملاء".
إليكم صفحة خدمة أمين المظالم الأصلية.
و هنا موقع تصيد.
في الوقت نفسه ، أثرت التغييرات فقط على الجزء المركزي من الموقع ، حيث يكرر الرأس وقوائم السياق وتذييل الصفحة التصميم الأصلي تمامًا. جميع الروابط ، بما في ذلك رابط إلى صفحة التفويض في خدمة Sberbank.Online ، تؤدي إلى الموقع الحقيقي لـ Sberbank.
منظر عام لموقع التصيد.
يتمثل أحد العناصر الرئيسية لمورد التصيد الاحتيالي في زر يقول "احصل على المساعدة بشكل عاجل". يؤدي النقر فوقه إلى إعادة توجيهنا إلى صفحة
sbersecure.ru/help.html . بالتوازي ، تم إطلاق مجموعة كاملة من برامج جافا ، ومعظمها لا يعمل. من الغريب أن أحد النصوص يصل إلى مورد
ibbe.group-ib.ru . على ما يبدو ، هذا هو البرنامج النصي لخدمة Secure Bank من Group-IB ، الموروثة من الموقع الحقيقي للبنك كمورد للخداع.
تسمى الصفحة الثانية من المورد "فصل الأموال". في 18 أبريل ، عندما ظهر هذا الموقع ، بدا الأمر هكذا.
محاولات إدخال رقم الموظفين التعسفي للموظف لم تؤدي إلى أي شيء ، وكان الجزء الثاني - "إعادة تعيين تسجيل الدخول وكلمة المرور من Sberbank عبر الإنترنت" غير نشط.
لقد تغيرت الصفحة خلال عطلة نهاية الأسبوع. اختفى نموذج إدخال رقم الموظفين ، ولكن تم توفير نموذج لتغيير تسجيل الدخول وكلمة المرور من الحساب الشخصي للبنك عبر الإنترنت. يوضح هذا الاستخدامات المحتملة لمورد التصيد الاحتيالي.
سيكون من الغباء عدم معرفة ما يحدث للبيانات المرسلة ، لذلك نحن نملأ النموذج بكلمات عشوائية ونضغط على زر "تأكيد".
يؤدي النقر فوق الزر بنص عادي إلى نقل البيانات التالية إلى البرنامج النصي
sbersecure.ru/php/add_login_bank.php : اسم المستخدم وكلمة المرور من خدمة
Sberbank.Online ومعلومات حول منطقة الإقامة وعنوان IP. يتم تجاهل المعلومات من الحقول لإدخال تسجيل دخول جديد وكلمة مرور جديدة لأسباب واضحة. بعد ذلك ، تتم عملية إعادة التوجيه إلى الصفحة
sbersecure.ru/get_info.html ، حيث يُطلب منا إدخال الاسم واللقب ورقم الهاتف بالإضافة إلى بيانات البطاقة ، بما في ذلك الرقم و CVV وصلاحيتها.
ليس سيئا ، أليس كذلك؟ لكننا ، كما كان الحال ، على صفحة خدمة الأمن بالبنك ... ندخل بيانات وهمية (لا يتحقق الموقع من أرقام البطاقة للتأكد من صحتها) ورقم هاتف حقيقي.
تنتقل البيانات المدخلة إلى
sbersecure.ru/php/input_user_data.php ، ونجد أنفسنا في الصفحة التالية.
ربما لا يكون المنطق واضحًا تمامًا ، نظرًا لأننا نتحدث عن فصل الأموال ، سيتعين على الضحية هنا إدخال بيانات بطاقته المصرفية الثانية. مرة أخرى ، املأ الحقول بالقمامة المعقولة ، مع الإشارة إلى رقم الهاتف الحالي. يتم نقل البيانات المدخلة إلى
sbersecure.ru/php/input_frand.php . بصراحة ، لا أعرف ما الذي يمكن أن يعنيه frand ، لكنني أظن أن هذا صديق مشوه.
فويلا!
كما هو متوقع ، نجد أنفسنا على الصفحة لإدخال الرمز من رسالة نصية قصيرة. في الوقت نفسه ، تصل الرسائل القصيرة من ياندكس على الهاتف. يبدو أن شخصًا ما يحاول إجراء تحويل باستخدام خدمة Yandex.Money. نقوم بإدخال الرمز ، والبيانات المتعلقة برقم الهاتف والأحرف التي تم إدخالها ، انتقل إلى
sbersecure.ru/php/input_sms_2.php ، وتعود إلى الصفحة السابقة.
بعد ذلك ، تصل رسالة نصية قصيرة أخرى إلى الرقم المحدد. يمكنك متابعة هذه الدورة إلى ما لا نهاية تقريبًا.
بالطبع ، إذا تحدثنا عن تفاصيل نظام تحويل الأموال ، فهذا افتراض إلى حد كبير. من أجل نقاء التجربة ، يجب عليك إدخال بيانات بطاقة صالحة ، وإن كانت بطاقة بنكية افتراضية ، ومحاولة تتبع تحركات الأموال ، وما إلى ذلك ، ولكن حتى الآن أصبح من الواضح أنه بمساعدة هذا الموقع يتلقى المهاجمون على الأقل:
- اسم
- الاسم الأول
- تفاصيل بطاقة الائتمان الكاملة
- رقم الهاتف
- تسجيل الدخول وكلمة المرور لإدخال خدمة Sberbank.Online
مع وجود هذه المعلومات تحت تصرفك ، يمكنك بسهولة سرقة الأموال من الحسابات البنكية بعدة طرق.
بطبيعة الحال ، لم نتمكن أنا وزملائي من المرور بهدوء من هذا المورد ، لذا في مساء يوم 18 أبريل أرسلنا معلومات حوله إلى سبيربنك باستخدام نموذج الملاحظات على الموقع الرسمي. بعد يومين ، في 20 أبريل ، تلقينا رسالة تفيد بأن طلبنا تم تسجيله.
في وقت لاحق كررنا النداء ، باستخدام النموذج الخاص لإرسال رسائل حول الموارد الاحتيالية ، والتي كان من الصعب جدًا العثور عليها بدون Google:
www.sberbank.ru/ru/person/dist_services/warning/formدعونا نأمل أن يستجيب البنك بسرعة للرسالة وسيختفي موقع التصيد الاحتيالي من الشبكة بمجرد ظهوره.