Hallo! Mein Name ist Vitaly Andreev und ich arbeite als führender Experte im ETHIC-Geschäft bei Infosecurity. Im letzten Jahr habe ich viele Beispiele für verschiedene beliebte betrügerische Programme gesammelt, die ich gerne teilen möchte, und gleichzeitig einige Trends aus der Welt des Phishing und des Social Engineering analysiert.
Täglich werden ungefähr tausend neue Domainnamen im Netzwerk registriert, was ein Vielfaches der Anzahl der wirklich aktiven Sites ist. Es wäre sinnlos und sehr lang, alle Szenarien ihrer Verwendung im Rahmen eines Artikels zu betrachten, daher werden wir nur auf einige davon eingehen, nämlich die Verwendung von Domain-Namen für betrügerische Zwecke.
Das Problem von Phishing und Social Engineering kann absolut jeden Netzwerkbenutzer betreffen. Über eine Phishing-Site zu stolpern oder auf eine andere Manifestation von Social Engineering zu stoßen, ist viel einfacher als beispielsweise einen Trojaner aufzunehmen (obwohl er höchstwahrscheinlich mithilfe von Social Engineering-Methoden an Sie gesendet wird). Warum habe ich mich entschieden, Social Engineering mit Drama zu vergleichen? Weil es auf ungefähr dem gleichen Prinzip der Handlungskonstruktion basiert wie in einem Kunstwerk, und das Opfer sich im Herzen einer Art Performance befindet.
Ein guter Domainname ist der halbe Erfolg für eine Phishing- oder Betrugsseite. Gute Domains suhlen sich jedoch nicht auf der Straße, sodass Betrüger im Voraus Bündel geeigneter Domainnamen registrieren und in den Startlöchern warten müssen. Am deutlichsten lässt sich die Situation am Beispiel der Banken erkennen. Jede Woche werden ungefähr anderthalb Tausend Domains mit einem "Bank" -Partikel registriert. Je beliebter die Bank ist, desto eher ist sie bereit, sich einen konsonanten Domainnamen zu sichern.
Zum Beispiel waren im Februar Variationen von Domain-Namen, die die Wörter "sberbank", "Bonus" und die Nummer "3000" enthielten, sehr beliebt. Schauen Sie einfach:
- Bonus3000-sberbank.ru
- sberbank-darit-3000.ru
- podarok3000-sberbank.ru
- sberbank-3000bonus.ru
- sberbank3000.ru
- 3000sberbank.ru
Und ein Dutzend ähnlicher Optionen in verschiedenen Designs.
Alle diese Domänen haben zwei gemeinsame Details. Erstens wurden sie über die Firma Beget registriert, und zweitens führen sie alle ins Nirgendwo.
Um den Zweck der Registrierung dieser Domains zu verstehen, benötigen Sie keine geheimen Kenntnisse oder besonderen Fähigkeiten. Geben Sie einfach die magischen Wörter "Sberbank Bonus 3000" in eine Suchmaschine ein. Am Ausgang erhalten wir typische Beispiele für Bewertungen:
Ich habe mich online bei Sberbank für einen Bonus von 3.000 Rubel registriert. Ich gab Passwörter per SMS ein und es stellte sich heraus, dass ich 30.000 Rubel von meiner Karte in CH Debit RUS MOSCOW QIWI AFT abgezogen hatte. Wie kann ich das Geld zurückbekommen?
Ich hatte 120.000.000 auf der Karte. Sie haben alles entfernt. Und minus ging auf 30.000
Anscheinend würde jemand das alte Schema wiederbeleben, das es Angreifern ermöglichte, Zugang zum Bankkonto des Opfers zu erhalten, und Domain-Namen warteten nur in den Startlöchern.
Das nächstbeliebteste Wort in der Nachbarschaft der Wortbank ist Polling. Hier ist es noch einfacher: Schauen Sie einfach in den Spam-Ordner in Ihrem Posteingang, wo die Kopfzeilen der Briefe nach der Zahlung schreien, die auf Sie wartet.
Wenn Sie dem Link aus dem Brief folgen, befinden Sie sich ungefähr auf einer solchen Website.
Basierend auf den Ergebnissen Ihrer Antwort auf ein Dutzend ehrlich gesagt dumme Fragen werden Sie freundlich gebeten, Ihre Bankkartendaten einzugeben, wo Sie logischerweise bezahlen sollten und wo Sie das Geld abschreiben können. In einigen Fällen machen sich Betrüger jedoch nicht einmal die Mühe, ihren Betrug zu verschleiern und in Form einer Dateneingabe im Klartext anzugeben, dass Sie für das Mobiltelefon eines anderen bezahlen.
Dieses ganze Schema ist sehr primitiv, aber es ist überraschend, dass es in den letzten Monaten aktiv auf Google und Instagram hochgefahren wurde, was seiner Vertrauenswürdigkeit nur vertrauensvolle Bürger hinzufügen kann.
Diese Umfragen von Sberbank stammen übrigens von opros@sberbank.ru.
Ich möchte sofort darauf hinweisen, dass die Sberbank als Beispiel gewählt wurde, einfach weil die größte Bank immer die Aufmerksamkeit verschiedener Arten von Betrügern auf sich gezogen hat. Die Logik hier ist einfach: Die Wahrscheinlichkeit, dass unter den potenziellen Opfern, die eine Phishing-E-Mail erhalten haben, die Kunden dieser bestimmten Bank sind, ist immer recht hoch. Viele verdächtige Domains erscheinen jedoch in Verbindung mit den Namen anderer bekannter Marken.
Schauen Sie sich zum Beispiel die Website-Adresse des VimpelCom-Bonusprogramms an. In diesem Fall trägt der Domänenname zumindest keine semantische Last. Das Generatorprogramm hat hier offensichtlich funktioniert, da Websites mit Umfragen häufig das Hosting ändern und von Domain zu Domain wechseln.
Manchmal gibt es Websites, auf denen die Marke überhaupt nicht erwähnt wird. Umfrage des Jahres und der Punkt!
Tatsächlich handelt es sich bei all diesen Umfragebetrügereien um ein leicht modifiziertes Auszahlungsbetrugsprogramm. Erst jetzt müssen auch Fragen beantwortet werden.
Ich war immer skeptisch gegenüber der Leistung solcher betrügerischen Pläne, sie sind zu ungeschickt. Einer steht im Brief, der andere auf der Website und der dritte beim Abheben von Geld.
Für die Reinheit des Experiments habe ich speziell alle Filter in der Testmailbox ausgeschaltet und jetzt sieht es so aus, als hätte die ganze Welt plötzlich beschlossen, mir Geld zu geben. Achten Sie nicht auf unterschiedliche Daten in den Briefen - Screenshots wurden das ganze Jahr über aufgenommen und jetzt wurden die interessantesten und charakteristischsten Versionen von Briefen ausgewählt.
Und hier ist mein Favorit. Ich habe immer davon geträumt, die Repost of the Year-Nominierung zu gewinnen!
Seltsamerweise verwandeln sich solche Mailings vor unseren Augen. Und wenn vor einem halben Jahr die meisten Briefe Links direkt zur Betrugsseite enthielten, gibt es jetzt in solchen Briefen einen Link zu einer Datei, die in einem Cloud-Speicher wie Dropbox liegt. Ein Link in dieser Datei führt zu einer schädlichen Site. Dies geschieht, um Spam-Mail-Filter zu umgehen.
Eines ist unveränderlich: Egal wie die Website aussieht und welche Marke sie abdeckt, Sie werden auf dieser Art von Seite landen.
Achten Sie auf die Aufschrift "Übertragung von Karte zu Karte" - die Jungs belasten sich überhaupt nicht.
Sie lesen diesen Artikel gerade und denken wahrscheinlich, dass solch ein primitiver Betrug nicht funktionieren kann. Dies ist aber leider nicht der Fall. Natürlich gibt es in der Natur keine offiziellen und verlässlichen Statistiken über solche sozialen Betrugsfälle. Angesichts des Umfangs der Mailings und der Anzahl ähnlicher Websites können wir jedoch mit Sicherheit sagen: Das Schema funktioniert. Betrüger werden ihre Energie und ihr Geld einfach nicht für etwas verschwenden, das ihnen kein Einkommen bringt.
Aber zurück zu unseren Domains. Phishing und Betrug gedeihen nicht nur in unserem Land. Im Februar hatte die türkische Bank Denizbank kein Glück (sie gehört zu den Top 5 Banken des Landes). In nur einem Monat erschienen mehr als 4 Dutzend Domains im Netzwerk, auf die eine oder andere Weise mit dem Namen verbunden. Wie in der vorherigen Geschichte sind sie alle über denselben Firmenregistrar registriert und nicht an eine Ressource gebunden. Sie sehen ungefähr so aus:
- tr-sube-denizbankasi.com
- bireysel-denizbank-sube-tr.com
- denizbankk-sube-tr.com
- denizbank-cep-tr.com
- online-denizbank-sube.com
- denizbank-cepte-tr.com
- acikdeniz-denizbanksube.com
- deniz-denizbank.com
Usw.
Eine andere türkische Bank, die Halkbank, bekam nicht weniger.
Natürlich habe ich keine Beweise dafür, dass diese Domains für illegale Zwecke registriert sind. Aber solche Domain-Namen sind eine Art „Tschechow-Gewehr“: Eines Tages werden sie sicherlich „schießen“, da es unter Berücksichtigung ihrer Namen logisch ist anzunehmen, dass sie die Kunden dieser Organisationen irreführen sollen.
Bei Domains, die den Namen der Bank verwenden, ist alles mehr oder weniger klar, aber es kommt auch vor, dass der Name das Partikel „Bank“ in Kombination mit dem Namen der Stadt oder des Landes enthält.
Zum Beispiel hat sich Anfang dieses Jahres jemand ernsthaft für Domaining entschieden und in ein paar Wochen mehrere hundert Namen der Form erstellt: "*** bank.com", "firstbankof ***. Com", "nationalbankof ***. Com" ”,“ *** Sparkasse.com ”und einfach“ bankof ***. Com ”(Sternchen ersetzen den Namen einer größeren Stadt oder eines größeren Landes). Warum habe ich entschieden, dass dies dominierend ist? Ja, nur wenn Sie zu einer dieser Websites gehen, wird eine Seite mit einem Kaufvorschlag für eine Domain und einem Link zu Nachmittagic.com angezeigt, der derzeit nicht verfügbar ist.
Es ist jedoch viel interessanter, wenn anstelle von geparkten Domains eine echte betrügerische Website entsteht, insbesondere wenn sie kreativ erstellt wurde.
Ein gutes Beispiel für einen kreativen Ansatz ist fpb-bank.ru. Überzeugen Sie sich selbst: Der Name stammt von der Finprombank, die 2017 ihre Lizenz verloren hat. Das Design und der Inhalt wurden vollständig vom ukrainischen ShvidkoGroshi (http://sgroshi.com.ua/) kopiert.
Die Website bot an, Scans ihrer Dokumente zur Registrierung in Ihrem Namen zu senden. Leider verschwand die Ressource so schnell wie sie erschien, sodass eine Kopie davon nicht einmal im Webarchiv erhalten blieb. Was charakteristisch ist, in diesem Fall wurde der Domainname im Voraus registriert, lange bevor die Site selbst erschien.
Ausgrabungen im Domänenraum stellen manchmal echte Überraschungen dar oder sind völlig ratlos. Ich hoffe jedoch, dass ich den merkwürdigen und mysteriösen Ereignissen im Internet einen eigenen Artikel widmen kann.
