En raison de mon travail, je rencontre souvent diverses manifestations de fraude réseau et, bien sûr, des ressources de phishing.
En ce qui concerne les sites de phishing, la première chose qui me vient à l'esprit est divers systèmes conçus pour voler des mots de passe et d'autres informations pouvant intéresser les cybercriminels. Mais les vecteurs d'utilisation des ressources de phishing sont très divers. Par conséquent, la définition du phishing donnée, disons, sur Wikipédia, ne révèle pas pleinement son essence.
Par exemple, des sites en double créés non pas pour voler des données, mais pour induire en erreur les contreparties. Pourquoi pas du phishing? L'intérêt des fraudeurs pour la création de tels sites ne diminue pas depuis 10 ans. Ici, il est nécessaire de faire une réserve qu'il ne s'agit pas de sites tels que «vendre des matériaux de construction à moindre coût, de l'argent à l'avance», mais des sites doubles d'entreprises réelles.
En voici:
Dans la première image, le site d'origine de l'entreprise chimique, dans la seconde - son clone. Cet exemple n'a pas été choisi par hasard. Premièrement, ce clone a déjà attiré l'attention de divers chercheurs, et deuxièmement, il est étonnamment tenace. Le nom de domaine TOAZ.PW a été enregistré en novembre de l'année dernière.
Examinons de plus près ce site et voyons comment ce système frauduleux fonctionne. La première chose qui attire votre attention, ce sont les polices. Apparemment, ils ont été perdus quelque part dans le processus de copie d'un site avec un grappin. Mais le reste de la ressource semble assez authentique, sauf que les nouvelles à ce sujet n'ont pas été mises à jour depuis octobre 2018.
Tout le plus intéressant commence dans la section "Contacts". Les téléphones indiqués sur la page n'ont aucun lien avec cette société. Mais nous reviendrons sur les téléphones. Ils serviront d'indice principal.
Nous regardons plus loin. Les adresses e-mail diffèrent également de celles indiquées sur cette ressource. À cet égard, le message d'avertissement de fraude copié à partir du site Web de l'entreprise est particulièrement touchant. Les attaquants ont soigneusement remplacé l'adresse de la «ligne de confiance» par la leur, laissant le texte pratiquement inchangé.
L'élément suivant est les listes de prix. Sur le site d'origine, ils sont disponibles au format PDF. Dans le même format, ils ont migré vers un faux site, tout en perdant de vrais numéros de téléphone et adresses e-mail. Il est frappant de constater que les escrocs ne se sont même pas souciés du choix des polices. Et donc ça va ...
Étant donné que seules les coordonnées ont été modifiées, on peut supposer que le double site a été créé pour tromper les contractants potentiels de l'entreprise.
En termes généraux, le schéma de triche ressemble à ceci:
- Nous créons un double site d'une entreprise réputée
- Nous envoyons des lettres à des clients potentiels au nom de l'entreprise
- Attirer encore plus de clients potentiels
- Nous recevons un acompte pour la fourniture de produits
- ???????
- PROFIT
L'argent est généralement transféré sur les comptes des entreprises d'un jour, mais c'est une histoire complètement différente, qui peut cependant être discutée dans un article séparé.
Le stratagème frauduleux lui-même est aussi vieux que le monde, mais reste encore assez efficace. Avec une mise en garde. Un double site ne suffit pas. La durée de vie des ressources de phishing est de courte durée (TOAZ.PW est suspendu au réseau depuis six mois maintenant - une exception à la règle), ce qui signifie que les fraudeurs doivent constamment créer de nouveaux sites.
Et ils sont rapides. L'analyse des données Whois, des adresses e-mail et des numéros de téléphone vous permet d'obtenir deux autres doubles du site souhaité sans réfléchir: toaoz.ru et toaoz.com. L'un d'eux est déjà mort (mais l'archive Web se souvient de tout), tandis que le second semble être tombé en CSS.
Fait intéressant, malgré les adresses e-mail au format ***@toaz.pw, les attaquants utilisent en fait les serveurs de messagerie Mail.Ru et Yandex. C'est plus pratique.
Creuser plus loin. Des ressources non moins intéressantes reposent sur la même IP avec toaoz.com:
- uralechem.com
- min-udo.org
- agrocenter-eurochem.info
Les deux derniers au moment de la rédaction de ce document ne sont plus disponibles, mais le premier - un clone du site Web d'Uralchem est toujours en vie.
Une recherche supplémentaire vous permet d'obtenir une douzaine de noms de domaine supplémentaires utilisés pour créer des sites de clonage pour les entreprises de l'industrie chimique.
Il serait trop long de peindre l'ensemble du processus de recherche, voici donc un schéma simplifié des relations entre les ressources de phishing.
Le diagramme n'indique pas toutes les ressources, en plus, il contient des données personnelles intentionnellement cachées, ainsi que les numéros de téléphone et les noms de certains sites qui ne sont pas directement liés au système pénal.
Certains des téléphones illuminés apparaissent dans les moteurs de recherche en conjonction avec divers services pour la réception anonyme de confirmations SMS.
Une analyse rapide des ressources suggère que ce schéma est enraciné chez des fraudeurs qui ont créé des clones des sites de la préoccupation Eurochem il y a plusieurs années.
Sur le réseau, vous pouvez trouver des critiques d'entrepreneurs qui ont été victimes de ces sites. Beaucoup d'entre eux sont très déterminés et ont l'intention de défendre leur vérité et leur argent devant les tribunaux. Mais c'est juste qu'ils réalisent à peine qu'ils devront poursuivre non pas avec un fournisseur sans scrupules, mais avec une entreprise d'un jour, dont les actifs ont tendance à zéro. Dans les registres des personnes morales, on trouve de nombreuses «LLC» de ce type pour lesquelles des procédures d'exécution sont ouvertes.
Mais il n'y a certainement rien à leur retirer. L'argent est depuis longtemps entré dans la poche des organisateurs de cette entreprise.
Les fraudeurs ne se limitent pas à la Russie. De nombreux sites de phishing ont des versions anglaises, et ils discutent activement des «escroqueries en provenance de Russie» dans des forums étrangers.
Certaines ressources font même des
listes d'organisations qui ne valent pas la peine d'être traitées. Parmi elles, il y a surtout de nombreuses entreprises de l'industrie pétrolière et gazière, ce qui est compréhensible - la direction est très monétaire. Dans ces listes, vous pouvez également trouver les adresses de sites qui sont devenus les héros de notre
sélection d'aujourd'hui .
Les raisons de la popularité de ce système sont nombreuses. Contrairement aux fraudeurs, profitant des individus, la tromperie est légale. les individus ont des avantages bien plus importants, permettant aux attaquants de recevoir des millions de roubles pour plusieurs transactions.
De plus, une telle fraude n'est pas révélée immédiatement. La perturbation de l'approvisionnement n'est pas si rare dans les affaires, alors les escrocs essaient d'étirer leur temps le plus longtemps possible, en proposant diverses explications des retards. Ils utilisent ce temps pour couvrir leurs traces et retirer des fonds. Lorsque la victime se rend enfin compte qu'elle a été trompée, le temps d'enquêter sur le crime «à sa poursuite» est désespérément perdu.
Il y a une autre raison au succès de cette entreprise criminelle. En créant des clones des sites de grandes entreprises, les escrocs ne leur causent pas de dommages directs. Dans une certaine mesure, seule leur réputation en souffre, et même alors très indirectement.
Par conséquent, les géants industriels sont extrêmement réticents à gérer ces ressources de phishing. Les tiers sont encore plus difficiles à traiter. En effet, si une entreprise dont le site Internet a été copié par des cybercriminels peut utiliser divers leviers d'influence légaux, par exemple, pour exiger la cessation de l'usage abusif de la marque, les victimes de phishing n'ont d'autre choix que de prouver que le site appartient à des fraudeurs et est utilisé à des fins illégales. Et ici, ils sont confrontés à un certain nombre de difficultés, car le fait de la fraude, ou plutôt de l'intention, doit encore être prouvé. Et tout avocat sait que la fraude est l'un des délits les plus difficiles en termes de collecte de preuves, notamment en ce qui concerne les relations entre les personnes morales.
Que reste-t-il à faire? Clients - adoptez une approche plus prudente pour vérifier les contreparties et ne transférez pas d'argent sur le compte du prochain «vecteur» LLC. Et les industriels n'ignorent pas le problème, mais surveillent l'apparition de clones de leurs ressources et prennent en temps voulu les mesures nécessaires. De plus, tous les outils nécessaires pour cela sont disponibles de nos jours. La seule question est la volonté de l’organisation de veiller à la sécurité de ses clients potentiels.