Negócio perigoso

Um novo serviço é uma nova oportunidade. Inclusive para atacantes que rastreiam rapidamente todos os negócios mais recentes.

Por exemplo, em 6 de maio, o Sberbank lançou o serviço de Transação Segura, projetado para fornecer garantias para o pagamento de uma transação por seus participantes e proteger seus direitos. A SafeCrow, empresa especializada na prestação desses serviços, atuou como parceira técnica do banco.

A página correspondente foi criada no site do banco, a conta pessoal do serviço está localizada em um domínio separado - sb-sdelka.ru.

Exatamente uma semana depois, em 13 de maio, o recurso sberbank-service.online apareceu na rede, imitando o serviço mencionado acima. Vamos compará-los.

É assim que a página de serviço do site Sberbank se parece.

imagem

E assim - no site dos atacantes.

imagem

Um elemento-chave das duas páginas é o botão Criar negociação. Porém, se no site do banco esse botão nos levar à sua conta pessoal, na qual nos é oferecido o login usando o número de telefone e o código do SMS.

imagem

Esse recurso malicioso, sem qualquer explicação, simplesmente oferece uma senha.

imagem

Conheça o site fraudulento mais de perto.

Se o domínio original usado pelo serviço Sberbank foi registrado pela SafeCrow através da RU-CENTER, a empresa americana Network Solutions atuou como registradora do nome de domínio SBERBANK-SERVICE.ONLINE. Ao mesmo tempo, o identificador do país em Whois indica a Rússia e, no campo, a região aparece RU-NVS, o que aparentemente significa Novosibirsk. Na ligação ao domínio, aparece o endereço para correspondência: sb.service.help@gmail.com.
O site está hospedado na plataforma Wix.com. E não apenas hospedado, porque o Wix é principalmente um construtor de sites online. Examinamos o código da página e vemos imediatamente: meta name = "generator" content = "Wix.com Website Builder" . Parece que os invasores não se incomodaram e rapidamente montaram um site de phishing diretamente no criador on-line.

A propósito, isso a distingue de outros recursos semelhantes. Nos últimos meses, a maioria dos sites projetados para enganar os clientes do Sberbank foi feita em HTML puro com um toque de JavaScript ou usou algum tipo de mecanismo proprietário. E aqui até as fotos estão hospedadas em static.wixstatic.com/media .

O site possui um certificado SSL válido; portanto, o Google Chrome informa com cuidado que os recursos mais confiáveis ​​podem ser confiáveis.

imagem

A análise do código da página não traz resultados especiais. Lixo sólido e JavaScript herdado do Wix. O site possui uma tag de verificação do site do google e um script do Google Analytics, que, no entanto, há muito não é incomum, mesmo para recursos de phishing, já que todo mundo deseja estudar o público-alvo.

A área superior do site e o rodapé são copiados com mais ou menos precisão do site do banco. No entanto, o recurso de phishing perdeu a capacidade de dimensionar totalmente e as fontes originais. O menu superior sofreu alterações. Alguns links entrarão no site do Sberbank, mas o número e o nome dos botões diferem do original, e os botões "Página inicial", "Licença" e "Promoção" se referem a elementos do recurso de phishing. A seção “Licença” contém uma tabela com os detalhes do Sberbank e um link para um arquivo pdf com uma verificação da licença geral do Banco Central, localizada em docs.wixstatic.com. A foto na página principal foi tirada do estoque de fotos da Istock.

Resumir


Na sua forma atual, o site pode ser usado como um dos elementos do esquema criminal. O formulário de entrada de senha, a falta de login e registro sugerem que a vítima que chegou ao site já terá uma senha pronta transmitida pelos atacantes, ou seja, sem engenharia social, isso claramente não é suficiente.

Apesar de, no momento, não ser possível estudar todos os detalhes do esquema fraudulento, o site agora pode ser uma ameaça, porque se destina claramente a enganar os clientes do banco.

Informamos o Sberbank PJSC e o SafeCrow sobre a ameaça identificada e esperamos que o recurso de phishing deixe de existir antes que as primeiras vítimas apareçam.

Source: https://habr.com/ru/post/pt452038/


All Articles