صفقة خطيرة

الخدمة الجديدة هي فرصة جديدة. بما في ذلك للمهاجمين الذين يتعقبون بسرعة جميع أحدث الأعمال.

على سبيل المثال ، في 6 أيار (مايو) ، أطلق Sberbank خدمة المعاملات الآمنة (Safe Transaction) ، المصممة لتوفير ضمانات لسداد معاملة من قبل المشاركين وحماية حقوقهم. تعمل SafeCrow ، وهي شركة متخصصة في تقديم مثل هذه الخدمات ، كشريك تقني للبنك.

تم إنشاء الصفحة المقابلة على موقع البنك على الإنترنت ، ويقع الحساب الشخصي للخدمة في مجال منفصل - sb-sdelka.ru.

بالضبط بعد أسبوع ، في 13 أيار (مايو) ، ظهر المورد sberbank-service.online على الشبكة ، محاكيًا الخدمة المذكورة أعلاه. دعنا نقارنهم.

هذا ما تبدو عليه صفحة الخدمة على موقع Sberbank.



وهكذا - على موقع المهاجمين.



العنصر الرئيسي لكلا الصفحتين هو زر إنشاء تجارة. ولكن إذا كان هذا الزر على موقع البنك الإلكتروني يقودنا إلى حسابك الشخصي ، حيث يتم عرض تسجيل الدخول باستخدام رقم الهاتف ورمز الرسالة النصية القصيرة.



هذا المورد الخبيث ، دون أي تفسير ، يعرض ببساطة إدخال كلمة مرور.



تعرف على الموقع الاحتيالي الأقرب.

إذا تم تسجيل النطاق الأصلي الذي تستخدمه خدمة Sberbank بواسطة SafeCrow من خلال RU-CENTER ، فإن شركة Network Solutions التابعة للولايات المتحدة تعمل بمثابة مسجل لاسم مجال SBERBANK-SERVICE.ONLINE. في الوقت نفسه ، يشير معرف البلد في Whois إلى روسيا ، وفي المنطقة تظهر RU-NVS ، مما يعني على ما يبدو نوفوسيبيرسك. في الربط إلى المجال يظهر العنوان البريدي: sb.service.help@gmail.com.
الموقع مستضاف على منصة Wix.com. وليس فقط المستضافة ، لأن Wix هو في المقام الأول منشئ موقع على الإنترنت. ننظر إلى شفرة الصفحة ونرى على الفور: meta name = "generator" content = "Wix.com Website Builder" . يبدو أن المهاجمين لم يكلفوا أنفسهم عناء وضعوا موقعًا للخداع سريعًا في منشئ الإنترنت مباشرةً.

هذا ، بالمناسبة ، يميزها عن غيرها من الموارد المماثلة. على مدار الأشهر القليلة الماضية ، تم تصميم معظم المواقع المصممة لخداع عملاء سبيربنك بصيغة HTML نقية باستخدام مجموعة من جافا سكريبت ، أو استخدام بعض أنواع محركات الملكية. وهنا يتم استضافة الصور حتى على static.wixstatic.com/media .

يحتوي الموقع على شهادة SSL صالحة ، لذلك يعلم Google Chrome بعناية أن المورد يمكن الوثوق به بكل المقاييس الأكثر حميمية.



تحليل كود الصفحة لا يجلب أي نتائج خاصة. خردة الصلبة وجافا سكريبت الموروثة من يكس. يحتوي الموقع على علامة تحقق من موقع google ونص لبرنامج Google Analytics ، ومع ذلك ، لم يكن من غير المألوف منذ فترة طويلة حتى بالنسبة لموارد التصيد الاحتيالي ، لأن الجميع يريد دراسة الجمهور المستهدف.

يتم نسخ المنطقة العلوية للموقع وتذييل الصفحة بدقة أو بأقل من موقع البنك ، ومع ذلك ، فقد مورد التصيد الاحتيالي القدرة على توسيع نطاقه وفقد الخطوط الأصلية. شهدت القائمة العليا تغييرات. ستدخل بعض الروابط الموجودة فيه موقع Sberbank على الويب ، ولكن يختلف عدد الأزرار واسمها عن الأصلي ، وتشير أزرار "الصفحة الرئيسية" و "الترخيص" و "الصفقة" إلى عناصر مورد التصيد الاحتيالي. يحتوي قسم "الترخيص" على جدول يحتوي على تفاصيل سبيربنك ورابط لملف pdf مع فحص للرخصة العامة للبنك المركزي ، والذي يقع على docs.wixstatic.com. تم التقاط الصورة في الصفحة الرئيسية من ألبوم صور Istock.

لتلخيص

في شكله الحالي ، يمكن استخدام الموقع كأحد عناصر المخطط الإجرامي. يشير نموذج إدخال كلمة المرور وعدم وجود تسجيل الدخول والتسجيل إلى أن الضحية التي دخلت الموقع سيكون لديها بالفعل كلمة مرور جاهزة من المهاجمين ، وهذا بدون هندسة اجتماعية ، وهذا لن يفعل بشكل واضح.

على الرغم من أنه لا يمكن في الوقت الحالي دراسة جميع تفاصيل المخطط الاحتيالي ، إلا أن الموقع يمكن أن يشكل تهديدًا ، لأنه من الواضح أنه يهدف إلى تضليل عملاء البنك.

لقد أبلغنا Sberbank PJSC و SafeCrow بالتهديد الذي تم تحديده ، ونأمل أن يتوقف مورد الخداع قبل ظهور أول الضحايا.