Un site de phishing devrait être suffisamment crédible pour correspondre à toutes les légendes des cybercriminels. Souvent, quelque chose lié à la sécurité est choisi comme légende, de telles ressources suscitent plus de confiance parmi les victimes potentielles. Et voici un nouvel exemple de cette approche:
sbersecure.ru .
Les événements autour du site se sont développés rapidement. Le nom de domaine a été enregistré dans la soirée du 16 avril et le lendemain, un site de phishing est apparu dessus. Initialement, les serveurs de l'hôte russe Hostlife ont été spécifiés comme DNS, cependant, après seulement 9 heures, les adresses de CloudFlare, une société qui n'a pas besoin d'être présentée, sont apparues dans les enregistrements NS. Le 17 avril à 15 heures, heure de Moscou, la ressource a acquis un certificat de chiffrement émis par le même CloudFlare.
Examinez de plus près le site de phishing.
Pour créer la ressource, une méthode assez populaire de copie partielle du site d'origine a été utilisée. Dans ce cas, les assaillants ont pris comme base la page du service de médiation de la Banque, remplaçant les mots «service de médiation» par «service de sécurité client».
Voici la page originale du service d'ombudsman.
Et voici un site de phishing.
Dans le même temps, les modifications n'ont affecté que la partie centrale du site, l'en-tête, les menus contextuels et le pied de page reproduisent complètement la conception d'origine. Tous les liens, y compris un lien vers la page d'autorisation du service Sberbank.Online, mènent au site réel de Sberbank.
Vue générale d'un site de phishing.
Un élément clé d'une ressource de phishing est un bouton qui dit «Obtenez de l'aide de toute urgence». Cliquer dessus nous redirige vers la page
sbersecure.ru/help.html . En parallèle, un tas de scripts java sont lancés, dont la plupart ne fonctionnent pas. Curieusement, l'un des scripts accède à la ressource
ibbe.group-ib.ru . Apparemment, il s'agit d'un script du service Secure Bank du groupe IB, hérité de la ressource de phishing du site Web de cette banque.
La deuxième page de la ressource est intitulée «Séparation des fonds». Le 18 avril, lorsque ce site est apparu, il ressemblait à ceci.
Les tentatives de saisie d'un numéro de personnel arbitraire pour l'employé n'ont abouti à rien, la deuxième partie - «Réinitialisation du login et du mot de passe de Sberbank en ligne» était inactive.
La page a changé au cours du week-end. Le formulaire de saisie du matricule a disparu, mais un formulaire a été mis à disposition pour changer l'identifiant et le mot de passe du compte personnel de la banque en ligne. Cela clarifie les utilisations possibles d'une ressource de phishing.
Il serait stupide de ne pas voir ce qui arrive aux données envoyées, nous remplissons donc le formulaire avec des mots arbitraires et cliquons sur le bouton «Confirmer».
En cliquant sur le bouton en texte brut, les données suivantes sont transférées vers le script
sbersecure.ru/php/add_login_bank.php : nom d'utilisateur et mot de passe du service Sberbank.Online, informations sur la région de résidence et l'adresse IP. Les informations des champs permettant de saisir une nouvelle connexion et un nouveau mot de passe sont ignorées pour des raisons évidentes. Après cela, une redirection vers la page
sbersecure.ru/get_info.html a lieu, sur laquelle nous sommes invités à entrer le nom, le prénom, le numéro de téléphone, ainsi que les données de la carte, y compris le numéro, le CVV et sa validité.
Pas mal, non? Mais nous sommes pour ainsi dire sur la page du service de sécurité de la banque ... Nous entrons des données fictives (le site ne vérifie pas la validité des numéros de carte) et un vrai numéro de téléphone. Les données saisies
volent vers
sbersecure.ru/php/input_user_data.php , et nous nous retrouvons sur la page suivante.
La logique n'est peut-être pas tout à fait claire, puisque nous parlons de ségrégation des fonds, ici la victime devrait saisir les données de sa deuxième carte bancaire. Encore une fois, remplissez les champs avec des ordures crédibles, tout en indiquant le numéro de téléphone existant. Les données saisies sont transmises à
sbersecure.ru/php/input_frand.php . Honnêtement, je ne sais pas ce que frand peut signifier, mais je soupçonne que c'est un ami déformé.
Voila!
Comme on pouvait s'y attendre, nous nous retrouvons sur la page de saisie du code à partir d'un SMS. Dans le même temps, les SMS de Yandex arrivent sur le téléphone. Il semble que quelqu'un essaie d'effectuer un transfert en utilisant le service Yandex.Money. Nous entrons le code, les données sur le numéro de téléphone et les caractères saisis vont sur
sbersecure.ru/php/input_sms_2.php et
revenons à la page précédente.
Suite à cela, un autre SMS arrive au numéro indiqué. Vous pouvez continuer ce cycle presque sans fin.
Bien sûr, si nous parlons des détails du système de transfert d'argent, c'est en grande partie une hypothèse. Pour la pureté de l'expérience, vous devez entrer les données d'une carte bancaire valide, bien que virtuelle, essayer de suivre les mouvements des finances, etc., mais même maintenant, il est clair qu'avec l'aide de ce site, les attaquants reçoivent au moins:
- Nom de famille
- Prénom
- Coordonnées complètes de la carte de crédit
- Numéro de téléphone
- Identifiant et mot de passe pour accéder au service Sberbank.Online
Avec ces informations à votre disposition, vous pouvez facilement voler de l'argent de comptes bancaires de différentes manières.
Naturellement, mes collègues et moi ne pouvions pas passer calmement par une telle ressource, alors dans la soirée du 18 avril, nous avons envoyé des informations à ce sujet à Sberbank en utilisant le formulaire de commentaires sur le site officiel. Après 2 jours, le 20 avril, nous avons reçu une lettre indiquant que notre appel était enregistré.
Plus tard, nous avons réitéré l'appel, en utilisant le formulaire spécial pour envoyer des messages sur les ressources frauduleuses, ce qui était très difficile à trouver sans Google:
www.sberbank.ru/ru/person/dist_services/warning/formEspérons que la banque répondra rapidement au message et que le site de phishing disparaîtra du réseau aussi rapidement qu'il est apparu.