新服务是新机会。 包括非常快速地跟踪所有最新业务的攻击者。
例如,5月6日,Sberbank推出了安全交易服务,旨在为参与者的交易付款提供保障,并保护他们的权利。 专业提供此类服务的公司SafeCrow担任银行的技术合作伙伴。
在银行的
网站上创建了相应的
页面 ,该服务的个人帐户位于另一个域sb-sdelka.ru。
恰好在一周之后的5月13日,资源sberbank-service.online出现在网络上,模仿了上述服务。 让我们比较一下。
这就是Sberbank网站上服务页面的外观。
等等-在攻击者的网站上。
这两个页面的关键元素都是“创建交易”按钮。 但是,如果在银行的网站上,此按钮会将我们引至您的个人帐户,我们可以在其中使用电话号码和SMS中的代码进行登录。
该恶意资源,无需任何解释,仅提供输入密码。
进一步了解欺诈站点。
如果Sberbank服务使用的原始
域是SafeCrow通过RU-CENTER注册的,则美国公司Network Solutions将充当域名注册商SBERBANK-SERVICE.ONLINE。 同时,Whois中的国家/地区标识符表示俄罗斯,在该字段中该地区显示为RU-NVS,这显然表示新西伯利亚。 在与域的绑定中,显示邮件地址:sb.service.help@gmail.com。
该网站托管在Wix.com平台上。 而且不仅托管,因为Wix主要是在线网站构建器。 我们查看页面代码,然后立即看到:
meta name =“ generator” content =“ Wix.com Website Builder” 。 攻击者似乎并没有直接在在线生成器中直接建立一个钓鱼网站的麻烦。
顺便说一下,这将其与其他类似资源区分开来。 在过去的几个月中,大多数旨在欺骗Sberbank客户的网站要么是用纯HTML制作的,带有JavaScript飞溅,要么使用了某种专有引擎。 在这里,甚至图片都托管在
static.wixstatic.com/media上 。
该网站具有有效的SSL证书,因此Google Chrome浏览器会仔细告知该资源可以被所有最亲密的人信任。
页面代码的分析不会带来任何特殊的结果。 从Wix继承的纯垃圾和JavaScript。 该网站具有google-site-verification标记和Google Analytics(分析)脚本,但是,即使对于网络钓鱼资源,它也并不少见,因为每个人都希望研究目标受众。
该站点的上部区域和页脚或多或少都从银行的站点中准确复制了,但是,网络钓鱼资源失去了完全缩放的能力,并且失去了原始字体。 顶层菜单已更改。 其中的某些链接将进入Sberbank网站,但是按钮的数量和名称与原始按钮不同,并且“主页”,“许可证”和“交易”按钮是网络钓鱼资源的元素。 “许可证”部分包含一个表格,其中包含Sberbank的详细信息,以及指向pdf文件的链接,该文件包含docs.wixstatic.com上的中央银行通用许可证扫描。 主页上的图片来自Istock图片库。
总结一下
以目前的形式,该站点可以用作犯罪计划的要素之一。 密码输入表(缺少登录名和注册信息)表明,到达该站点的受害者将已经拥有攻击者发送的现成的密码,也就是说,如果没有社会工程学,这显然是不够的。
尽管目前尚无法研究该欺诈计划的所有细节,但该站点现在已成为一个威胁,因为它显然是在误导银行的客户。
我们将发现的威胁告知Sberbank PJSC和SafeCrow,我们希望在第一个受害者出现之前,网络钓鱼资源将不复存在。