你好 我叫Vitaly Andreev,是Infosecurity的ETHIC业务的领先专家。 在过去的一年中,我积累了许多我想分享的各种流行欺诈方案的例子,同时分析了网络钓鱼和社会工程领域的一些趋势。
每天,网络上都会注册大约一千个新域名,这是真正活跃站点的数量的许多倍。 在一篇文章的框架内考虑所有使用它们的场景将是毫无意义且很长的,因此我们仅讨论其中的一些场景,即将域名用于欺诈目的。
网络钓鱼和社会工程学问题可能会影响到任何网络用户。 偶然发现网络钓鱼站点或碰到另一种社会工程学形式要比捡起木马程序容易得多(尽管很可能会使用社会工程学方法将其发送给您)。 为什么我决定将社会工程学与戏剧进行比较? 因为它是基于与艺术作品相同的情节构建原则,所以受害者发现自己处于表演的核心。
好的域名是网络钓鱼或欺诈网站成功的一半。 但是,好的域名并不会泛滥成灾,因此欺诈者会预先注册成捆的合适域名,从而让他们等待着。 最明显的是,这种情况可以从银行的例子中看出。 每周,大约有5,000个带有“ bank”粒子的域被注册。 而且,银行越受欢迎,就越愿意给自己一个辅音域名。
例如,在二月份,包含单词“ sberbank”,“ bonus”和数字“ 3000”的域名变体非常流行。 看一下:
- bonus3000-sberbank.ru
- sberbank-darit-3000.ru
- podarok3000-sberbank.ru
- sberbank-3000bonus.ru
- sberbank3000.ru
- 3000sberbank.ru
在不同的设计中还有十多个类似的选项。
所有这些域都有两个共同的细节。 首先,它们是通过Beget公司注册的,其次,它们都无济于事。
为了了解注册这些域的目的,您不需要具备任何秘密知识或特殊技能,只需在任何搜索引擎中输入魔术词“ Sberbank bonus 3000”即可。 在输出中,我们获得了典型的评论示例:
我在Sberbank在线注册,奖金为3000卢布。 我通过短信输入了密码,结果证明我从CH Debit RUS莫斯科QIWI AFT银行卡中提取了30,000卢布。 我如何取回钱?
我在地图上有120亿。 他们删除了所有内容。 减到三万
显然,有人打算复兴旧的计划,该计划允许攻击者访问受害者的银行帐户,而域名只是在等待。
词库附近的下一个最受欢迎的词是民意测验。 在这里甚至更容易:只需查看收件箱中的垃圾邮件文件夹,其中的信头就会大喊等待您付款的信息。
如果您点击来信中的链接,那么您将在这种站点上找到自己的位置。
回答了十二个坦率的愚蠢问题之后,将恳请您输入银行卡详细信息,从逻辑上讲,您应该在哪里付款,实际上是从哪里注销钱。 但是,在某些情况下,诈骗者甚至不费力地掩饰他们的诈骗,并以纯文本数据输入的形式表明您正在为他人的手机付费。
整个计划是非常原始的,但是令人惊讶的是,最近几个月来它在Google和Instagram上一直在积极地兴起,它们不得不让信任的公民相信它的效率。
顺便说一下,这些来自Sberbank的民意调查来自opros@sberbank.ru。
我想马上指出,选择Sberbank作为示例只是因为最大的银行一直吸引着各种欺诈者的注意。 这里的逻辑很简单:在收到网络钓鱼电子邮件的潜在受害者中,这家特定银行的客户的可能性始终很高。 但是,许多可疑域名与其他知名品牌的名称一起出现。
例如,查看VimpelCom奖励计划的网站地址。 在这种情况下,域名至少不承担某种语义负载。 生成器程序显然在这里起作用,因为具有轮询的站点通常会更改托管并在域之间移动。
有时有些网站根本不提品牌。 年度民意测验和重点!
实际上,所有这些调查骗局都是经过轻微修改的支出欺诈方案。 只是现在还需要回答问题。
我一直对这种欺诈性计划的表现持怀疑态度,它们太笨拙了。 一种写在信件中,另一种写在网站上,第三种写在提款时。
出于实验的纯洁性,我专门关闭了测试邮箱中的所有筛选器,现在看来,整个世界似乎突然决定给我钱。 不要注意字母的日期-全年都截取了屏幕截图,现在已经选择了最有趣和最具特色的字母版本。
这是我的最爱。 我一直梦想赢得年度最佳Repost提名!
奇怪的是,这样的邮件正在我们眼前转变。 而且,如果半年前,大多数信件都包含直接指向欺诈网站的链接,但是现在,在这些信件中,有指向位于Dropbox之类的云存储中的文件的链接。 该文件中的链接导致一个恶意站点。 这样做是为了绕过垃圾邮件过滤器。
一件事是不变的:无论网站是什么样子,无论网站覆盖什么品牌,您都将进入这种页面。
注意题词“从卡到卡的转移”-伙计们一点也不紧张。
您现在正在阅读本文,您可能认为这样的原始骗局行不通。 但是,不幸的是,事实并非如此。 当然,关于这种社会欺诈的官方和可靠的统计信息实际上并不存在。 但是,鉴于邮件的数量和类似站点的数量,我们可以肯定地说:该方案有效。 欺诈者根本不会将自己的精力和金钱浪费在不给他们带来收入的事情上。
但是回到我们的领域。 网络钓鱼和欺诈不仅在我们国家盛行。 2月份,土耳其银行Denizbank并不幸运(它被列为该国前5名银行)。 在短短一个月的时间里,网络中出现了超过四打的域名,域名以一种或另一种方式出现。 与上一个故事一样,它们都是通过同一公司注册商注册的,并且不受任何资源的束缚。 他们看起来像这样:
- tr-sube-denizbankasi.com
- bireysel-denizbank-sube-tr.com
- denizbankk-sube-tr.com
- denizbank-cep-tr.com
- online-denizbank-sube.com
- denizbank-cepte-tr.com
- acikdeniz-denizbanksube.com
- deniz-denizbank.com
依此类推。
另一家土耳其银行Halkbank的收益也不少。
当然,我没有证据表明这些域名是出于非法目的而注册的。 但是这样的域名是一种“契kh夫步枪”:有一天它们肯定会“射击”,因为考虑到它们的名称,可以合理地假设它们旨在误导这些组织的客户。
在使用银行名称的域中,或多或少都清楚了,但是也有可能名称包含银行名称和城市或国家/地区名称。
例如,在今年年初,有人认真地决定进行域名注册,并在几周内创建了数百个以下形式的名称:“ *** bank.com”,“ firstbankof ***。Com”,“ nationalbankof ***。Com” ”,“ *** Savingsbank.com”和简单的“ bankof ***。Com”(星号替换主要城市或国家/地区的名称)。 为什么我确定这是域化? 是的,即使您访问这些站点之一,也会看到一个页面,其中包含购买域名的建议以及指向afternic.com的链接,该链接目前不可用。
但是,当真正的欺诈性网站(而不是停放的域名)出现时,尤其是如果它是创造性地创建的,则更加有趣。
fpb-bank.ru是创新方法的一个很好的例子。 亲眼看看:这个名称取自Finprombank,该银行于2017年失去了执照,其设计和内容完全取自乌克兰语ShvidkoGroshi(http://sgroshi.com.ua/)。
该网站提供了以您的名字发送
为期一天的公司美元信用额度来发送其文档扫描件以进行注册的功能。 不幸的是,该资源一出现就消失了,因此即使在Web存档中也没有保留它的副本。 在这种情况下,特征是域名早在网站本身出现之前就已预先注册。
领域空间中的挖掘有时会带来真正的惊喜,或者完全不知所措。 但我希望单独撰写一篇文章,介绍网络上遇到的好奇和神秘事件。
