Bonjour Je m'appelle Vitaly Andreev et je travaille en tant qu'expert de premier plan dans le domaine de l'ETHIC chez Infosecurity. Au cours de la dernière année, j'ai accumulé de nombreux exemples de divers stratagèmes frauduleux populaires que je voudrais partager, et en même temps analyser certaines tendances du monde du phishing et de l'ingénierie sociale.
Chaque jour, un millier de nouveaux noms de domaine sont enregistrés sur le réseau, ce qui est bien plus que le nombre de sites réellement actifs. Il serait inutile et très long de considérer tous les scénarios de leur utilisation dans le cadre d'un article, nous ne parlerons donc que de certains d'entre eux, à savoir l'utilisation de noms de domaine à des fins frauduleuses.
Le problème du phishing et de l'ingénierie sociale peut affecter n'importe quel utilisateur du réseau. Trébucher sur un site de phishing ou rencontrer une autre manifestation de l'ingénierie sociale est beaucoup plus facile que, par exemple, prendre un cheval de Troie (bien qu'il vous soit très probablement envoyé à l'aide de méthodes d'ingénierie sociale). Pourquoi ai-je décidé de comparer l'ingénierie sociale avec le théâtre? Parce qu'elle repose sur le même principe de construction de l'intrigue que dans une œuvre d'art, et la victime est au cœur même d'une sorte de performance.
Un bon nom de domaine représente la moitié du succès d'un site de phishing ou d'arnaque. Mais les bons domaines ne se vautrent pas sur la route, alors les fraudeurs enregistrent à l'avance des paquets de noms de domaine appropriés, les laissant attendre dans les coulisses. Plus clairement, la situation peut être vue sur l'exemple des banques. Chaque semaine, environ un millier et demi de domaines avec une particule «banque» sont enregistrés. De plus, plus la banque est populaire, plus elle est disposée à se procurer un nom de domaine consonantique.
Par exemple, en février, les variantes de noms de domaine contenant les mots «sberbank», «bonus» et le nombre «3000» étaient très populaires. Regardez:
- bonus3000-sberbank.ru
- sberbank-darit-3000.ru
- podarok3000-sberbank.ru
- sberbank-3000bonus.ru
- sberbank3000.ru
- 3000sberbank.ru
Et une douzaine d'options plus similaires dans différents modèles.
Tous ces domaines partagent deux détails communs. Premièrement, ils ont été enregistrés par l'intermédiaire de la société Beget, et deuxièmement, ils ne mènent tous à rien.
Afin de comprendre le but de l'enregistrement de ces domaines, vous n'avez pas besoin d'avoir des connaissances secrètes ou des compétences spéciales, entrez simplement les mots magiques "Sberbank bonus 3000" dans n'importe quel moteur de recherche. À la sortie, nous obtenons des exemples typiques de critiques:
Je me suis inscrit à Sberbank en ligne pour un bonus de 3 000 roubles. J'ai entré des mots de passe par SMS et il s'est avéré que j'avais retiré 30 000 roubles de ma carte dans CH Debit RUS mOSCOW QIWI AFT. Comment puis-je récupérer l'argent?
J'en avais 120 000 000 sur la carte. Ils ont tout enlevé. Et moins est allé à 30 mille
Apparemment, quelqu'un allait faire revivre l'ancien système, qui permettait aux attaquants d'accéder au compte bancaire de la victime, et les noms de domaine attendaient juste dans les coulisses.
Le deuxième mot le plus populaire dans le voisinage de la banque de mots est le sondage. Ici, c'est encore plus simple: il suffit de regarder dans le dossier spam de votre boîte de réception, où les en-têtes des lettres vont crier sur le paiement qui vous attend.
Si vous suivez le lien de la lettre, vous vous retrouverez approximativement sur un tel site.
À la suite de la réponse à une douzaine de questions franchement stupides, il vous sera demandé de bien vouloir saisir les détails de votre carte bancaire, où, logiquement, vous devriez payer, et en fait d'où radier l'argent. Cependant, dans certains cas, les fraudeurs ne prennent même pas la peine de dissimuler leur arnaque et indiquent sous forme de saisie de données en texte clair que vous payez pour le téléphone portable de quelqu'un d'autre.
Tout ce schéma est très primitif, mais il est surprenant qu'au cours des derniers mois, il se soit activement intensifié sur Google et Instagram, ce qui ne peut qu'ajouter des citoyens de confiance pour croire en son efficacité.
Soit dit en passant, ces sondages de Sberbank proviennent de opros@sberbank.ru.
Je tiens à noter tout de suite que la Sberbank a été choisie comme exemple simplement parce que la plus grande banque a toujours attiré l'attention de divers types de fraudeurs. La logique ici est simple: la probabilité que parmi les victimes potentielles qui ont reçu un e-mail de phishing soient les clients de cette banque particulière est toujours assez élevée. Cependant, de nombreux domaines suspects apparaissent conjointement avec les noms d'autres marques bien connues.
Par exemple, regardez l'adresse du site Web du programme de bonus VimpelCom. Dans ce cas, le nom de domaine ne porte pas au moins une sorte de charge sémantique. Le programme générateur a évidemment fonctionné ici, car les sites avec des sondages changent souvent d'hébergement et se déplacent de domaine en domaine.
Parfois, il existe des sites sans mentionner la marque du tout. Sondage de l'année et le point!
En fait, toutes ces escroqueries d'enquête sont un système de fraude au paiement légèrement modifié. Seulement maintenant, il est également nécessaire de répondre aux questions.
J'ai toujours été sceptique quant à la performance de tels stratagèmes frauduleux, ils sont trop maladroits. L'un est écrit dans la lettre, un autre sur le site Web et le troisième lors du retrait d'argent.
Pour la pureté de l'expérience, j'ai spécifiquement désactivé tous les filtres dans la boîte aux lettres de test et maintenant, il semble que le monde entier ait soudainement décidé de me donner de l'argent. Ne faites pas attention aux différentes dates dans les lettres - des captures d'écran ont été prises tout au long de l'année et maintenant les versions les plus intéressantes et caractéristiques des lettres ont été sélectionnées.
Et voici mon préféré. J'ai toujours rêvé de remporter la nomination Repost of the Year!
Curieusement, ces envois se transforment sous nos yeux. Et s'il y a six mois, la plupart des lettres contenaient des liens directement vers le site de l'arnaque, mais maintenant, dans ces lettres, il y a un lien vers un fichier se trouvant dans un stockage cloud comme Dropbox. Un lien dans ce fichier mène à un site malveillant. Cette opération est effectuée afin de contourner les filtres de courrier indésirable.
Une chose est invariable: peu importe à quoi ressemble le site et quelle que soit la marque qu'il couvre, vous vous retrouverez sur ce type de page.
Faites attention à l'inscription "transfert de carte en carte" - les gars ne se fatiguent pas du tout.
Vous lisez cet article maintenant et vous pensez probablement qu'une telle arnaque primitive ne peut pas fonctionner. Mais, malheureusement, ce n'est pas le cas. Bien sûr, il n'existe pas de statistiques officielles et fiables sur ces fraudes sociales. Mais étant donné l'ampleur des envois et le nombre de sites similaires, nous pouvons dire avec certitude: le système fonctionne. Les fraudeurs ne gaspilleront tout simplement pas leur énergie et leur argent pour quelque chose qui ne leur rapporte pas de revenus.
Mais revenons à nos domaines. L'hameçonnage et la fraude prospèrent non seulement dans notre pays. En février, la banque turque Denizbank n'a pas eu de chance (elle fait partie des 5 premières banques du pays). En seulement un mois, plus de 4 douzaines de domaines sont apparus sur le réseau, d'une manière ou d'une autre, liés à son nom. Comme dans l'histoire précédente, ils sont tous enregistrés via le même registraire d'entreprise et ne sont liés à aucune ressource. Ils ressemblent à ceci:
- tr-sube-denizbankasi.com
- bireysel-denizbank-sube-tr.com
- denizbankk-sube-tr.com
- denizbank-cep-tr.com
- online-denizbank-sube.com
- denizbank-cepte-tr.com
- acikdeniz-denizbanksube.com
- deniz-denizbank.com
Et ainsi de suite.
Une autre banque turque, Halkbank, n'en a pas moins.
Bien sûr, je n'ai aucune preuve que ces domaines sont enregistrés à des fins illégales. Mais ces noms de domaine sont une sorte de «fusil Tchekhov»: un jour, ils vont certainement «tirer», car étant donné leurs noms, il est logique de supposer qu'ils sont conçus pour tromper les clients de ces organisations.
Avec les domaines utilisant le nom de la banque, tout est plus ou moins clair, mais il arrive aussi que le nom comprenne la «banque» de particules en combinaison avec le nom de la ville ou du pays.
Par exemple, au début de cette année, quelqu'un a sérieusement décidé de faire du domainage et en quelques semaines a créé plusieurs centaines de noms du formulaire: "*** bank.com", "firstbankof ***. Com", "nationalbankof ***. Com »,« *** Savingsbank.com »et simplement« bankof ***. Com »(les astérisques remplacent le nom d'une grande ville ou d'un pays). Pourquoi ai-je décidé que cela domine? Oui, juste si vous allez sur l'un de ces sites, vous verrez une page proposant d'acheter un domaine et un lien vers afternic.com, qui n'est actuellement pas disponible.
Mais, c'est beaucoup plus intéressant lorsque, au lieu de domaines parqués, un vrai site Web frauduleux émerge, surtout s'il a été créé de manière créative.
Fpb-bank.ru est un bon exemple d'une approche créative. Voyez par vous-même: le nom vient de Finprombank, qui a perdu sa licence en 2017, la conception et le contenu sont entièrement copiés de l'Ukrainien ShvidkoGroshi (http://sgroshi.com.ua/).
Le site a proposé d'envoyer des scans de leurs documents pour enregistrement à votre nom, en
un jour, en dollars d'
entreprise . Malheureusement, la ressource a disparu aussi rapidement qu'elle est apparue, de sorte qu'une copie de celle-ci n'a pas été conservée même dans les archives Web. Ce qui est caractéristique, dans ce cas, le nom de domaine a été enregistré à l'avance, bien avant l'apparition du site lui-même.
Les fouilles dans l'espace du domaine présentent parfois de vraies surprises ou sont laissées à perte. Mais j'espère consacrer un article séparé aux événements curieux et mystérieux rencontrés sur le net.
