Eine Phishing-Site sollte glaubwürdig genug aussehen, um mit den Legenden der Cyberkriminellen übereinzustimmen. Oft wird etwas, das mit Sicherheit zu tun hat, als Legende gewählt. Solche Ressourcen wecken mehr Vertrauen bei potenziellen Opfern. Und hier ist ein
neues Beispiel für diesen Ansatz:
sbersecure.ru .
Die Ereignisse rund um die Website entwickelten sich schnell. Der Domainname wurde am Abend des 16. April registriert und am nächsten Tag erschien eine Phishing-Site darauf. Ursprünglich wurden die Server des russischen Hostlife-Hosters als DNS angegeben. Nach nur 9 Stunden wurden die Adressen von CloudFlare, einem Unternehmen, das nicht angegeben werden muss, in NS-Einträgen angezeigt. Am 17. April um 15 Uhr Moskauer Zeit erwarb die Ressource ein Verschlüsselungszertifikat, das von derselben CloudFlare ausgestellt wurde.
Schauen Sie sich die Phishing-Site genauer an.
Zum Erstellen der Ressource wurde eine recht beliebte Methode zum teilweisen Kopieren der ursprünglichen Site verwendet. In diesem Fall haben die Angreifer die Seite "Ombudsmann-Service" der Bank als Grundlage genommen und die Wörter "Ombudsmann-Service" in "Kundensicherheits-Service" geändert.
Hier ist die ursprüngliche Ombudsmann-Service-Seite.
Und hier ist eine Phishing-Site.
Gleichzeitig betrafen die Änderungen nur den zentralen Teil der Site, die Kopfzeile, die Kontextmenüs und die Fußzeile wiederholen das ursprüngliche Design vollständig. Alle Links, einschließlich eines Links zur Autorisierungsseite im Sberbank.Online-Service, führen zur realen Site der Sberbank.
Gesamtansicht einer Phishing-Site.
Ein Schlüsselelement einer Phishing-Ressource ist eine Schaltfläche mit der Aufschrift "Holen Sie sich dringend Hilfe." Wenn Sie darauf klicken, werden Sie zur Seite
sbersecure.ru/help.html weitergeleitet . Parallel dazu wird eine ganze Reihe von Java-Skripten gestartet, von denen die meisten nicht funktionieren.
Seltsamerweise greift eines der Skripte auf die Ressource
ibbe.group-ib.ru zu. Anscheinend ist dies ein Skript des Secure Bank-Dienstes von Group-IB, das von der Phishing-Ressource auf der Website dieser Bank geerbt wurde.
Die zweite Seite der Ressource heißt „Segregation of Funds“. Am 18. April, als diese Seite in Sicht kam, sah sie so aus.
Versuche, eine beliebige Personalnummer für den Mitarbeiter einzugeben, führten zu nichts. Der zweite Teil - „Zurücksetzen des Logins und des Passworts der Sberbank online“ war inaktiv.
Die Seite hat sich im Laufe des Wochenendes geändert. Das Formular zur Eingabe der Personalnummer ist verschwunden, es wurde jedoch ein Formular zum Ändern des Logins und des Passworts vom persönlichen Konto der Online-Bank zur Verfügung gestellt. Dies verdeutlicht die möglichen Verwendungen einer Phishing-Ressource.
Es wäre dumm, nicht zu sehen, was mit den gesendeten Daten passiert. Deshalb füllen wir das Formular mit beliebigen Wörtern aus und klicken auf die Schaltfläche „Bestätigen“.
Durch Klicken auf die Schaltfläche im Klartext werden die folgenden Daten in das Skript
sbersecure.ru/php/add_login_bank.php übertragen : Benutzername und Kennwort vom Sberbank.Online-Dienst, Informationen zur
Wohnregion und IP-Adresse. Informationen aus den Feldern zur Eingabe eines neuen Logins und eines neuen Passworts werden aus offensichtlichen Gründen ignoriert. Danach erfolgt eine Weiterleitung auf die Seite
sbersecure.ru/get_info.html , auf der wir aufgefordert werden, den
Vor- und Nachnamen, die Telefonnummer sowie die Kartendaten einschließlich Nummer, CVV und deren Gültigkeit einzugeben.
Nicht schlecht, oder? Aber wir befinden uns sozusagen auf der Seite des Sicherheitsdienstes der Bank ... Wir geben fiktive Daten (die Website überprüft die Kartennummern nicht auf Gültigkeit) und eine echte Telefonnummer ein. Die eingegebenen Daten werden an
sbersecure.ru/php/input_user_data.php gesendet , und wir befinden uns auf der nächsten Seite.
Die Logik ist vielleicht nicht ganz klar, da es sich um eine Geldtrennung handelt, müsste das Opfer hier die Daten seiner zweiten Bankkarte eingeben. Füllen Sie die Felder erneut mit glaubwürdigem Müll aus und geben Sie die vorhandene Telefonnummer an. Die eingegebenen Daten werden an
sbersecure.ru/php/input_frand.php übertragen . Ehrlich gesagt, ich weiß nicht, was frand bedeuten kann, aber ich vermute, dass dies ein verzerrter Freund ist.
Voila!
Vorhersehbarerweise befinden wir uns auf der Seite zur Eingabe des Codes aus einer SMS-Nachricht. Gleichzeitig kommt eine SMS von Yandex am Telefon an. Es scheint, dass jemand versucht, eine Überweisung über den Yandex.Money-Dienst vorzunehmen. Wir geben den Code, die Daten auf der Telefonnummer und die eingegebenen Zeichen ein, gehen zu
sbersecure.ru/php/input_sms_2.php und kehren zur vorherigen Seite zurück.
Anschließend kommt eine weitere SMS unter der angegebenen Nummer an. Sie können diesen Zyklus fast endlos fortsetzen.
Wenn wir über die Details des Geldtransfersystems sprechen, ist dies natürlich weitgehend eine Annahme. Für die Reinheit des Experiments sollten Sie die Daten einer gültigen, wenn auch virtuellen Bankkarte eingeben, versuchen, die Bewegungen der Finanzen zu verfolgen usw., aber selbst jetzt ist klar, dass Angreifer mit Hilfe dieser Website mindestens Folgendes erhalten:
- Nachname
- Vorname
- Vollständige Kreditkartendaten
- Telefonnummer
- Login und Passwort zur Eingabe des Sberbank.Online-Dienstes
Mit diesen Informationen können Sie auf verschiedene Weise problemlos Geld von Bankkonten stehlen.
Natürlich konnten meine Kollegen und ich eine solche Ressource nicht ruhig passieren. Deshalb haben wir am Abend des 18. April über das Feedback-Formular auf der offiziellen Website Informationen darüber an die Sberbank gesendet. Nach zwei Tagen, am 20. April, erhielten wir ein Schreiben, in dem unsere Berufung registriert wurde.
Später wiederholten wir den Aufruf und verwendeten das spezielle Formular, um Nachrichten über betrügerische Ressourcen zu senden, die ohne Google nur schwer zu finden waren:
www.sberbank.ru/ru/person/dist_services/warning/formHoffen wir, dass die Bank schnell auf die Nachricht reagiert und die Phishing-Site so schnell aus dem Netzwerk verschwindet, wie sie angezeigt wurde.