Aufgrund meiner Arbeit stoße ich häufig auf verschiedene Erscheinungsformen von Netzwerkbetrug und natürlich auf Phishing-Ressourcen.
Wenn es um Phishing-Sites geht, fallen als erstes verschiedene Schemata ein, mit denen Passwörter und andere Informationen gestohlen werden sollen, die für Cyberkriminelle von Interesse sind. Die Vektoren für die Verwendung von Phishing-Ressourcen sind jedoch sehr unterschiedlich. Daher offenbart die Definition von Phishing, die beispielsweise in Wikipedia gegeben wird, ihre Essenz nicht vollständig.
Zum Beispiel doppelte Websites, die erstellt wurden, um keine Daten zu stehlen, sondern um Gegenparteien irrezuführen. Warum nicht Phishing? Das Interesse von Betrügern an der Schaffung solcher Websites ist seit 10 Jahren nicht mehr gesunken. Hier muss reserviert werden, dass es sich nicht um Websites wie „billigen Verkauf von Baumaterialien, Geld im Voraus“ handelt, sondern um doppelte Websites realer Unternehmen.
Hier sind diese:
Im ersten Bild der ursprüngliche Standort des Chemieunternehmens, im zweiten der Klon. Dieses Beispiel wurde nicht zufällig ausgewählt. Erstens hat dieser Klon bereits die Aufmerksamkeit verschiedener Forscher auf sich gezogen, und zweitens ist er überraschend hartnäckig. Der Domainname TOAZ.PW wurde im November letzten Jahres registriert.
Schauen wir uns diese Website genauer an und sehen, wie dieses betrügerische Schema funktioniert. Das erste, was auffällt, sind die Schriftarten. Anscheinend gingen sie irgendwo verloren, als sie eine Site mit einem Grabber kopierten. Der Rest der Ressource sieht jedoch recht authentisch aus, mit der Ausnahme, dass die Nachrichten seit Oktober 2018 nicht mehr aktualisiert wurden.
Das Interessanteste beginnt im Abschnitt "Kontakte". Auf der Seite angegebene Telefone haben keine Beziehung zu dieser Firma. Aber wir werden zu den Telefonen zurückkehren. Sie werden als Haupthinweis dienen.
Wir schauen weiter. Die E-Mail-Adressen unterscheiden sich auch von den in dieser Ressource angegebenen. Besonders berührend in diesem Licht ist die Betrugswarnmeldung, die von der Website des Unternehmens kopiert wurde. Angreifer ersetzten die "Vertrauenszeilen" -Adresse sorgfältig durch ihre eigene und ließen den Text praktisch unverändert.
Das nächste Element sind Preislisten. Auf der ursprünglichen Website sind sie im PDF-Format verfügbar. Im gleichen Format wurden sie auf eine gefälschte Site migriert, während echte Telefonnummern und E-Mail-Adressen verloren gingen. Es fällt auf, dass sich die Betrüger nicht einmal um die Auswahl der Schriftarten gekümmert haben. Und so geht es ...
In Anbetracht der Tatsache, dass nur die Kontaktdaten geändert wurden, kann davon ausgegangen werden, dass die doppelte Site erstellt wurde, um potenzielle Auftragnehmer des Unternehmens zu täuschen.
Im Allgemeinen sieht das Betrugsschema folgendermaßen aus:
- Wir schaffen eine doppelte Site eines seriösen Unternehmens
- Wir senden im Namen des Unternehmens Briefe an potenzielle Kunden
- Noch mehr potenzielle Kunden anziehen
- Wir erhalten eine Vorauszahlung für die Lieferung von Produkten
- ???????
- GEWINN
Geld wird normalerweise auf die Konten von Eintagesfirmen überwiesen, aber dies ist eine ganz andere Geschichte, die jedoch in einem separaten Artikel erörtert werden kann.
Das betrügerische System selbst ist so alt wie die Welt, bleibt aber dennoch recht effektiv. Mit einer Einschränkung. Eine doppelte Site reicht nicht aus. Die Lebensdauer von Phishing-Ressourcen ist von kurzer Dauer (TOAZ.PW hängt seit sechs Monaten im Netzwerk - eine Ausnahme von der Regel), was bedeutet, dass Betrüger ständig neue Websites erstellen müssen.
Und sie sind schnell. Durch die Analyse von Whois-Daten, E-Mail-Adressen und Telefonnummern können Sie zwei weitere Doppelte der gesuchten Website erhalten: off tooz.oz und toaoz.com. Einer von ihnen ist bereits tot (aber das Webarchiv erinnert sich an alles), während der zweite von CSS abgefallen zu sein scheint.
Interessanterweise verwenden die Angreifer trotz der E-Mail-Adressen im Format ***@toaz.pw tatsächlich die Mail.Ru- und Yandex-Mailserver. Es ist bequemer.
Weiter graben. Nicht weniger interessante Ressourcen hängen mit toaoz.com an derselben IP:
- uralechem.com
- min-udo.org
- agrocenter-eurochem.info
Die letzten beiden zum Zeitpunkt des Schreibens sind nicht mehr verfügbar, aber der erste - ein Klon der Uralchem-Website ist noch am Leben.
Mit einer weiteren Suche können Sie ein Dutzend weiterer Domainnamen abrufen, die zum Erstellen von Klonseiten für Unternehmen der chemischen Industrie verwendet werden.
Es würde zu lange dauern, den gesamten Suchprozess zu zeichnen. Hier ist ein vereinfachtes Diagramm der Beziehungen zwischen Phishing-Ressourcen.
Das Diagramm zeigt nicht alle Ressourcen an. Außerdem enthält es absichtlich versteckte personenbezogene Daten sowie Telefonnummern und Namen einiger Websites, die nicht in direktem Zusammenhang mit dem kriminellen System stehen.
Einige der beleuchteten Telefone werden in Suchmaschinen in Verbindung mit verschiedenen Diensten zum anonymen Empfang von SMS-Bestätigungen angezeigt.
Eine schnelle Analyse der Ressourcen legt nahe, dass dieses Schema auf Betrügern beruht, die vor einigen Jahren Klone der Standorte des Eurochem-Konzerns erstellt haben.
Im Netzwerk finden Sie Bewertungen von Unternehmern, die Opfer solcher Websites geworden sind. Viele von ihnen sind sehr entschlossen, ihre Wahrheit und ihr Geld vor Gericht zu verteidigen. Aber es ist nur so, dass sie kaum erkennen, dass sie nicht bei einem skrupellosen Lieferanten klagen müssen, sondern bei einem eintägigen Unternehmen, dessen Vermögen gegen Null geht. In den Registern der juristischen Personen finden sich viele solcher „LLCs“, für die Vollstreckungsverfahren offen sind.
Aber es gibt definitiv nichts von ihnen zu nehmen. Geld ist seit langem in die Tasche der Organisatoren dieses Geschäfts geflossen.
Betrüger sind nicht auf Russland beschränkt. Viele Phishing-Sites haben englische Versionen und diskutieren in ausländischen Foren aktiv über „Betrug aus Russland“.
Einige Ressourcen erstellen sogar
Listen von Organisationen , mit denen es sich nicht zu befassen lohnt. Unter ihnen gibt es besonders viele Unternehmen in der Öl- und Gasindustrie, was verständlich ist - die Richtung ist sehr monetär. In diesen Listen finden Sie auch die Adressen von Websites, die zu den Helden unserer
heutigen Auswahl geworden sind .
Die Gründe für die Popularität dieses Schemas sind vielfältig. Im Gegensatz zu Betrügern, die von Einzelpersonen profitieren, ist Betrug legal. Einzelpersonen haben weitaus größere Vorteile, sodass Angreifer für mehrere Transaktionen Millionen Rubel erhalten können.
Darüber hinaus wird ein solcher Betrug nicht sofort aufgedeckt. Eine Unterbrechung der Versorgung ist im Geschäftsleben nicht so selten, daher versuchen Betrüger, ihre Zeit so lange wie möglich zu verlängern, und liefern verschiedene Erklärungen für Verzögerungen. Sie nutzen diese Zeit, um ihre Spuren zu verwischen und Geld abzuheben. Als das Opfer endlich merkt, dass es getäuscht wurde, ist die Zeit für die Untersuchung des Verbrechens „in Verfolgung“ hoffnungslos verloren.
Es gibt noch einen weiteren Grund für den Erfolg dieses kriminellen Geschäfts. Durch das Erstellen von Klonen der Websites großer Unternehmen verursachen Betrüger keinen direkten Schaden. Bis zu einem gewissen Grad leidet nur ihr Ruf, und selbst dann sehr indirekt.
Daher sind Industriegiganten äußerst zurückhaltend im Umgang mit solchen Phishing-Ressourcen. Der Umgang mit Dritten ist noch schwieriger. Wenn ein Unternehmen, dessen Website von Cyberkriminellen kopiert wurde, verschiedene rechtliche Einflussfaktoren nutzen kann, um beispielsweise die Einstellung des Missbrauchs der Marke zu fordern, haben die Opfer von Phishing keine andere Wahl, als nachzuweisen, dass die Website im Besitz von Betrügern ist und für illegale Zwecke verwendet wird. Und hier stehen sie vor einer Reihe von Schwierigkeiten, weil die Tatsache des Betrugs oder vielmehr der Absicht noch bewiesen werden muss. Und jeder Anwalt weiß, dass Betrug eines der schwierigsten Verbrechen im Hinblick auf das Sammeln von Beweismitteln ist, insbesondere wenn es um die Beziehungen zwischen juristischen Personen geht.
Was bleibt zu tun? Kunden - gehen Sie bei der Überprüfung von Gegenparteien vorsichtiger vor und überweisen Sie kein Geld auf das Konto des nächsten LLC-Vektors. Und Industrieunternehmen ignorieren das Problem nicht, sondern überwachen das Auftreten von Klonen ihrer Ressourcen und ergreifen rechtzeitig die erforderlichen Maßnahmen. Darüber hinaus stehen heute alle dafür notwendigen Tools zur Verfügung. Die einzige Frage ist der Wunsch des Unternehmens, sich um die Sicherheit seiner potenziellen Kunden zu kümmern.