网络钓鱼站点应该看起来足够可信,可以与任何网络犯罪分子的传说相提并论。 通常,与安全相关的事物被选为传奇,这些资源引起了潜在受害者之间的更多信任。 这是此方法的一个新示例:
sbersecure.ru 。
网站周围的事件发展迅速。 该域名于4月16日晚上注册,第二天该网站上出现了一个钓鱼网站。 最初,Russian Hostlife主机的服务器被指定为DNS,但是仅9小时后,不需要显示的公司CloudFlare的地址就会出现在NS记录中。 4月17日在莫斯科时间15时,该资源获得了由同一CloudFlare颁发的加密证书。
仔细看看钓鱼网站。
为了创建资源,使用了一种相当流行的部分复制原始站点的方法。 在这种情况下,攻击者将银行的监察员服务页面作为基础,将“监察员服务”改为“客户安全服务”。
这是原始的申诉专员服务页面。
这是一个钓鱼网站。
同时,更改仅影响网站的中心部分,页眉,上下文菜单和页脚完全重复了原始设计。 所有链接,包括指向Sberbank.Online服务中授权页面的链接,均指向Sberbank的真实站点。
网络钓鱼站点的一般视图。
网络钓鱼资源的关键元素是一个按钮,上面写着“紧急获得帮助”。 单击它会将我们重定向到
sbersecure.ru/help.html页面。 同时,启动了一大堆Java脚本,其中大多数不起作用。 奇怪的是,其中一个脚本访问了
ibbe.group-ib.ru资源。 显然,这是Group-IB提供的安全银行服务的脚本,该脚本继承自该银行网站的网络钓鱼资源。
资源的第二页称为“资金隔离”。 4月18日,这个网站出现时,看起来像这样。
尝试输入该员工的任意人员号码没有任何帮助,第二部分-“在线重置Sberbank的登录名和密码”无效。
周末页面已更改。 输入人员编号的表格已消失,但是可以使用表格来更改在线银行个人帐户的登录名和密码。 这阐明了网络钓鱼资源的可能用途。
如果看不到发送的数据会发生什么情况,那将是愚蠢的,因此我们用任意单词填写表格,然后单击“确认”按钮。
单击纯文本按钮会将以下数据传输到
sbersecure.ru/php/add_login_bank.php脚本:Sberbank.Online服务的用户名和密码,有关居住区域和IP地址的信息。 由于明显的原因,将忽略来自用于输入新登录名和新密码的字段的信息。 然后,重定向到页面
sbersecure.ru/get_info.html ,要求我们在其中输入姓名,姓氏,电话号码以及卡数据,包括号码,CVV及其有效性。
还不错吧? 但是,我们仍然在银行的安全服务页面上……我们输入了虚拟数据(该网站不会检查卡号的有效性)和真实电话号码。 输入的数据飞往
sbersecure.ru/php/input_user_data.php ,我们在下一页中找到了自己。
逻辑尚不完全清楚,也许是因为我们在谈论资金隔离,因此受害者必须在这里输入第二张银行卡的数据。 再次,在显示现有电话号码的同时,在字段中填写合理的垃圾。 输入的数据将传输到
sbersecure.ru/php/input_frand.php 。 老实说,我不知道手指意味着什么,但我怀疑这是一个扭曲的朋友。
瞧!
可以预见的是,我们在页面上发现了自己,可以从SMS消息中输入代码。 同时,来自Yandex的SMS到达电话。 似乎有人试图使用Yandex.Money服务进行转帐。 我们输入代码,电话号码上的数据和输入的字符,然后转到
sbersecure.ru/php/input_sms_2.php ,然后返回上一页。
此后,另一个SMS到达指示的号码。 您几乎可以无休止地继续此循环。
当然,如果我们谈论汇款计划的细节,那么这在很大程度上是一个假设。 为了实验的纯净,您应该输入有效的数据(尽管是虚拟银行卡),尝试跟踪财务状况等。但是即使到现在,很明显,在此站点的帮助下,攻击者至少可以获得:
- 姓氏
- 名
- 完整的信用卡详细信息
- 电话号码
- 进入Sberbank.Online服务的登录名和密码
有了这些信息,您可以轻松地以各种方式从银行帐户中窃取资金。
自然,我和我的同事们无法冷静地传递这样的资源,所以在4月18日晚上,我们使用官方网站上的反馈表将有关此信息的信息发送给了Sberbank。 2天后的4月20日,我们收到一封信,声明我们的上诉已获登记。
后来,我们使用特殊表格发送有关欺诈性资源的消息,再次发出上诉,如果没有Google,这是很难找到的:
www.sberbank.ru/ru/person/dist_services/warning/form我们希望银行能够迅速响应该消息,并且网络钓鱼站点将尽快从网络中消失。