Un nouveau service est une nouvelle opportunité. Y compris pour les attaquants qui suivent très rapidement toutes les dernières affaires.
Par exemple, le 6 mai, Sberbank a lancé le service Safe Transaction, conçu pour garantir le paiement d'une transaction par ses participants et protéger leurs droits. SafeCrow, une entreprise spécialisée dans la fourniture de ces services, a agi en tant que partenaire technique de la banque.
Une
page correspondante a été créée sur le
site Web de la banque, le compte personnel du service est situé sur un domaine distinct - sb-sdelka.ru.
Exactement une semaine plus tard, le 13 mai, la ressource sberbank-service.online est apparue sur le réseau, imitant le service susmentionné. Comparons-les.
Voici à quoi ressemble la page de service du site Web de la Sberbank.
Et donc - sur le site des assaillants.
Un élément clé des deux pages est le bouton Créer un échange. Mais si sur le site Web de la banque, ce bouton nous mène à votre compte personnel, dans lequel il nous est proposé de nous connecter en utilisant le numéro de téléphone et le code SMS.
Cette ressource malveillante, sans aucune explication, propose simplement d'entrer un mot de passe.
Apprenez à connaître le site frauduleux de plus près.
Si le
domaine d' origine utilisé par le service Sberbank a été enregistré par SafeCrow via RU-CENTER, la société américaine Network Solutions a agi en tant que bureau d'enregistrement de nom de domaine SBERBANK-SERVICE.ONLINE. Dans le même temps, l'identifiant du pays dans Whois indique la Russie, et sur le terrain la région apparaît RU-NVS, ce qui signifie apparemment Novossibirsk. Dans la liaison au domaine apparaît l'adresse postale: sb.service.help@gmail.com.
Le site est hébergé sur la plateforme Wix.com. Et pas seulement hébergé, car Wix est avant tout un constructeur de sites en ligne. Nous regardons le code de la page et voyons immédiatement:
meta name = "generator" content = "Wix.com Website Builder" . Il semble que les attaquants n'aient pas pris la peine de créer rapidement un site de phishing directement dans le constructeur en ligne.
Cela, soit dit en passant, le distingue des autres ressources similaires. Au cours des derniers mois, la plupart des sites conçus pour tromper les clients de Sberbank ont été créés en HTML pur avec une touche de JavaScript, ou ont utilisé une sorte de moteur auto-conçu. Et ici même les photos sont hébergées sur
static.wixstatic.com/media .
Le site dispose d'un certificat SSL valide, donc Google Chrome informe soigneusement que la ressource peut être approuvée par tous les plus intimes.
L'analyse du code de la page n'apporte aucun résultat particulier. Indésirable solide et JavaScript hérité de Wix. Le site dispose d'une balise de vérification de site Google et d'un script Google Analytics, qui, cependant, n'est pas rare depuis longtemps, même pour les ressources de phishing, car tout le monde veut étudier le public cible.
La zone supérieure du site et le pied de page sont copiés de façon plus ou moins précise à partir du site de la banque, cependant, la ressource de phishing a perdu la capacité de se mettre à l'échelle complète et a perdu les polices d'origine. Le menu du haut a subi des modifications. Certains liens entreront sur le site Web de la Sberbank, mais le nombre et le nom des boutons diffèrent de l'original, et les boutons "Accueil", "Licence" et "Deal" se réfèrent à des éléments de la ressource de phishing. La section «Licence» contient un tableau avec les détails de Sberbank et un lien vers un fichier pdf avec une analyse de la licence générale de la Banque centrale, qui se trouve sur docs.wixstatic.com. L'image sur la page principale a été prise à partir du stock de photos Istock.
Pour résumer
Dans sa forme actuelle, le site peut être utilisé comme l'un des éléments du régime pénal. Le formulaire de saisie du mot de passe, l'absence de connexion et d'enregistrement suggèrent que la victime qui est arrivée sur le site aura déjà un mot de passe prêt à l'emploi transmis par les attaquants, c'est-à-dire que sans ingénierie sociale, cela n'est clairement pas suffisant.
Malgré le fait qu'il ne soit pas actuellement possible d'étudier tous les détails du stratagème frauduleux, le site peut désormais être une menace, car il est clairement destiné à induire en erreur les clients de la banque.
Nous avons informé Sberbank PJSC et SafeCrow de la menace identifiée et nous espérons que la ressource de phishing cessera d'exister avant l'apparition des premières victimes.