Layanan baru adalah peluang baru. Termasuk untuk penyerang yang sangat cepat melacak semua bisnis terbaru.
Misalnya, pada tanggal 6 Mei, Sberbank meluncurkan layanan Transaksi Aman, yang dirancang untuk memberikan jaminan pembayaran transaksi oleh para pesertanya dan melindungi hak-hak mereka. SafeCrow, sebuah perusahaan yang berspesialisasi dalam penyediaan layanan tersebut, bertindak sebagai mitra teknis bank.
Halaman yang sesuai dibuat di
situs web bank, akun pribadi layanan terletak di domain terpisah - sb-sdelka.ru.
Tepat seminggu kemudian, pada 13 Mei, sumber daya sberbank-service.online muncul di jaringan, meniru layanan yang disebutkan di atas. Mari kita bandingkan mereka.
Seperti inilah tampilan halaman layanan di situs web Sberbank.
Dan - di situs penyerang.
Elemen kunci dari kedua halaman adalah tombol Create Trade. Tetapi jika di situs web bank tombol ini mengarahkan kami ke akun pribadi Anda, di mana kami ditawari untuk masuk menggunakan nomor telepon dan kode dari SMS.
Sumber daya jahat itu, tanpa penjelasan apa pun, hanya menawarkan untuk memasukkan kata sandi.
Kenali situs penipuan lebih dekat.
Jika
domain asli yang digunakan oleh layanan Sberbank didaftarkan oleh SafeCrow melalui RU-CENTER, perusahaan Network Solutions AS bertindak sebagai pendaftar nama domain SBERBANK-SERVICE.ONLINE. Pada saat yang sama, pengidentifikasi negara di Whois menunjukkan Rusia, dan di lapangan muncul RU-NVS, yang tampaknya berarti Novosibirsk. Dalam pengikatan ke domain muncul alamat surat: sb.service.help@gmail.com.
Situs ini dihosting di platform Wix.com. Dan tidak hanya di-host, karena Wix terutama merupakan pembangun situs online. Kami melihat kode halaman dan segera melihat:
meta name = "generator" content = "Wix.com Website Builder" . Tampaknya penyerang tidak repot-repot dan dengan cepat membuat situs phishing langsung di pembangun online.
Omong-omong, ini membedakannya dari sumber daya serupa lainnya. Selama beberapa bulan terakhir, sebagian besar situs yang dirancang untuk menipu pelanggan Sberbank telah dibuat dalam HTML murni dengan sedikit JavaScript, atau menggunakan beberapa jenis mesin buatan sendiri. Dan di sini bahkan gambar-gambar di-hosting di
static.wixstatic.com/media .
Situs ini memiliki sertifikat SSL yang valid, jadi Google Chrome dengan hati-hati memberi tahu bahwa sumber daya dapat dipercaya dengan semua yang paling intim.
Analisis kode halaman tidak membawa hasil khusus. Sampah padat dan JavaScript diwarisi dari Wix. Situs ini memiliki tag verifikasi situs-google dan skrip Google Analytics, yang, bagaimanapun, sudah tidak jarang bahkan untuk sumber daya phishing, karena semua orang ingin mempelajari audiens target.
Bagian atas situs dan footer disalin secara akurat dari situs bank, namun, sumber daya phishing telah kehilangan kemampuan untuk skala penuh dan telah kehilangan font asli. Menu atas telah mengalami perubahan. Beberapa tautan di dalamnya akan masuk ke situs web Sberbank, tetapi jumlah dan nama tombol berbeda dari aslinya, dan tombol "Beranda", "Lisensi" dan "Kesepakatan" merujuk ke elemen sumber daya phishing. Bagian "Lisensi" berisi tabel dengan rincian Sberbank dan tautan ke file pdf dengan pemindaian lisensi umum Bank Sentral, yang terletak di docs.wixstatic.com. Gambar di halaman utama diambil dari stok foto Istock.
Untuk meringkas
Dalam bentuk saat ini, situs tersebut dapat digunakan sebagai salah satu elemen dari skema kriminal. Formulir entri kata sandi, kurangnya login dan registrasi menunjukkan bahwa korban yang memasuki situs sudah akan memiliki kata sandi yang siap dikirim oleh penyerang, yaitu, tanpa rekayasa sosial, ini jelas tidak akan dilakukan.
Terlepas dari kenyataan bahwa pada saat ini tidak mungkin untuk mempelajari semua perincian skema penipuan, situs tersebut sekarang dapat menjadi ancaman, karena itu jelas dimaksudkan untuk menyesatkan pelanggan bank.
Kami memberi tahu Sberbank PJSC dan SafeCrow tentang ancaman yang teridentifikasi dan kami berharap sumber daya phishing tidak ada lagi sebelum korban pertama kali muncul.