Ein neuer Service ist eine neue Chance. Einschließlich für Angreifer, die sehr schnell das neueste Geschäft verfolgen.
Beispielsweise hat die Sberbank am 6. Mai den Safe Transaction Service eingeführt, der die Zahlung einer Transaktion durch ihre Teilnehmer garantiert und deren Rechte schützt. SafeCrow, ein auf die Erbringung solcher Dienstleistungen spezialisiertes Unternehmen, fungierte als technischer Partner der Bank.
Auf der
Website der Bank wurde eine entsprechende
Seite erstellt. Das persönliche Konto des Dienstes befindet sich in einer separaten Domain - sb-sdelka.ru.
Genau eine Woche später, am 13. Mai, erschien die Online-Ressource sberbank-service.online im Netzwerk und ahmte den oben genannten Dienst nach. Vergleichen wir sie.
So sieht die Service-Seite auf der Sberbank-Website aus.
Und so - auf der Seite der Angreifer.
Ein Schlüsselelement beider Seiten ist die Schaltfläche Handel erstellen. Wenn diese Schaltfläche jedoch auf der Website der Bank zu Ihrem persönlichen Konto führt, wird uns angeboten, uns mit der Telefonnummer und dem Code von SMS anzumelden.
Diese böswillige Ressource bietet ohne jede Erklärung einfach die Eingabe eines Passworts an.
Lernen Sie die betrügerische Seite näher kennen.
Wenn die vom Sberbank-Service verwendete ursprüngliche
Domain von SafeCrow über RU-CENTER registriert wurde, fungierte das US-amerikanische Unternehmen Network Solutions als Registrar des Domainnamens SBERBANK-SERVICE.ONLINE. Gleichzeitig zeigt die Länderkennung in Whois Russland an, und auf dem Feld erscheint die Region als RU-NVS, was anscheinend Nowosibirsk bedeutet. In der Bindung an die Domain erscheint die Postanschrift: sb.service.help@gmail.com.
Die Website wird auf der Wix.com-Plattform gehostet. Und nicht nur gehostet, denn Wix ist in erster Linie ein Online-Site-Builder. Wir sehen uns den Seitencode an und sehen sofort:
meta name = "generator" content = "Wix.com Website Builder" . Es scheint, dass die Angreifer sich nicht die Mühe gemacht haben und schnell eine Phishing-Site direkt im Online-Builder zusammengestellt haben.
Dies unterscheidet es übrigens von anderen ähnlichen Ressourcen. In den letzten Monaten wurden die meisten Websites, die Sberbank-Kunden täuschen sollen, entweder in reinem HTML mit einem Schuss JavaScript erstellt oder es wurden proprietäre Engines verwendet. Und hier werden sogar die Bilder auf
static.wixstatic.com/media gehostet.
Die Website verfügt über ein gültiges SSL-Zertifikat, sodass Google Chrome sorgfältig darüber informiert, dass der Ressource die vertraulichsten Informationen zur Verfügung stehen.
Die Analyse des Seitencodes bringt keine besonderen Ergebnisse. Solider Junk und JavaScript, die von Wix geerbt wurden. Die Website verfügt über ein Google-Site-Verifizierungs-Tag und ein Google Analytics-Skript, was jedoch selbst für Phishing-Ressourcen seit langem keine Seltenheit ist, da jeder die Zielgruppe untersuchen möchte.
Der obere Bereich der Site und die Fußzeile werden mehr oder weniger genau von der Site der Bank kopiert. Die Phishing-Ressource hat jedoch die Fähigkeit zur vollständigen Skalierung verloren und die ursprünglichen Schriftarten verloren. Das Hauptmenü wurde geändert. Einige darin enthaltene Links führen auf die Sberbank-Website, aber die Nummer und der Name der Schaltflächen unterscheiden sich vom Original, und die Schaltflächen "Home", "Lizenz" und "Deal" beziehen sich auf Elemente der Phishing-Ressource. Der Abschnitt „Lizenz“ enthält eine Tabelle mit den Details der Sberbank und einen Link zu einer PDF-Datei mit einem Scan der allgemeinen Lizenz der Zentralbank, die sich unter docs.wixstatic.com befindet. Das Bild auf der Hauptseite stammt aus dem Istock-Fotobestand.
Zusammenfassend
In der aktuellen Form kann die Website als eines der Elemente des kriminellen Systems verwendet werden. Das Passworteingabeformular, das Fehlen eines Logins und der Registrierung deuten darauf hin, dass das Opfer, das die Site betreten hat, bereits ein fertiges Passwort von den Angreifern übermittelt hat, was ohne Social Engineering eindeutig nicht ausreicht.
Trotz der Tatsache, dass es derzeit nicht möglich ist, alle Details des betrügerischen Systems zu untersuchen, kann die Website jetzt eine Bedrohung darstellen, da sie eindeutig dazu gedacht ist, die Kunden der Bank irrezuführen.
Wir haben Sberbank PJSC und SafeCrow über die identifizierte Bedrohung informiert und hoffen, dass die Phishing-Ressource nicht mehr existiert, bevor die ersten Opfer auftauchen.