Vit1218

пикабушник
поставил 0 плюсов и 0 минусов
проголосовал за 0 редактирований
1042 рейтинг 3 комментария 2 поста 2 в "горячем"
39

И снова волк в овечьей шкуре

Фишинговый сайт должен выглядеть достаточно правдоподобно и соответствовать какой-либо легенде злоумышленников. Нередко в качестве легенды выбирают что-нибудь связанное с безопасностью, такие ресурсы вызывают больше доверия у потенциальных жертв. И вот вам свежий пример такого подхода: https://sbersecure.ru.


События вокруг сайта развивались стремительно. Доменное имя было зарегистрировано вечером 16 апреля, а на следующий день на нем уже красовался фишинговый сайт. Изначально в качестве DNS были указаны сервера российского хостера Hostlife, однако, спустя всего 9 часов в NS-записях появились адреса CloudFlare, компании, не нуждающейся в представлении. 17 апреля в 15 часов по московскому времени ресурс обзавелся сертификатом шифрования, выданным все той же CloudFlare.

И снова волк в овечьей шкуре Мошенничество, Фишинг, Интернет-Мошенники, Информационная безопасность, Длиннопост

Познакомимся с фишинговым сайтом поближе.


Для создания ресурса использован достаточно популярный способ частичного копирования оригинального сайта. В данном случае злоумышленники взяли за основу страницу «Службы Омбудсмена» банка, поменяв слова «Служба Омбудсмена» на «Службу Безопасности Клиента».


Вот оригинальная страница Службы Омбудсмена.

И снова волк в овечьей шкуре Мошенничество, Фишинг, Интернет-Мошенники, Информационная безопасность, Длиннопост

А вот фишинговый сайт.

И снова волк в овечьей шкуре Мошенничество, Фишинг, Интернет-Мошенники, Информационная безопасность, Длиннопост

При этом изменения коснулись лишь центральной части сайта, шапка, контекстные меню и футер полностью повторяют оригинальный дизайн. Все ссылки, включая ссылку на страницу авторизации в сервисе «Сбербанк.Онлайн» ведут на настоящий сайт «Сбербанка».

И снова волк в овечьей шкуре Мошенничество, Фишинг, Интернет-Мошенники, Информационная безопасность, Длиннопост

Ключевым элементом фишингового ресурса является кнопка с надписью «Срочно получить помощь». Нажатие на нее переадресовывает нас на страницу https://sbersecure.ru/help.html. Параллельно запускается целый букет java-скриптов, большая часть из которых не работает. Что любопытно, один из скриптов обращается к ресурсу https://ibbe.group-ib.ru. По-видимому, это скрипт сервиса Secure Bank от компании Group-IB, доставшийся фишинговому ресурсу в наследство от настоящего сайта банка.

И снова волк в овечьей шкуре Мошенничество, Фишинг, Интернет-Мошенники, Информационная безопасность, Длиннопост

Вторая страница ресурса носит название «Сегрегация денежных средств». 18 апреля, когда этот сайт попал в поле зрения, она выглядела вот так.

И снова волк в овечьей шкуре Мошенничество, Фишинг, Интернет-Мошенники, Информационная безопасность, Длиннопост

Попытки ввести произвольный табельный номер сотрудника ни к чему не приводили, вторая же часть – «Сброс логина и пароля Сбербанк онлайн» была неактивна.


На выходных страница претерпела изменения. Форма ввода табельного номера пропала, зато стала доступна форма, предназначенная для изменения логина и пароля от личного кабинета онлайн-банка. Это проясняет возможные варианты использования фишингового ресурса.

И снова волк в овечьей шкуре Мошенничество, Фишинг, Интернет-Мошенники, Информационная безопасность, Длиннопост

Было бы глупо не посмотреть, что происходит с отправленными данными, поэтому заполняем форму произвольными словами и нажимаем на кнопку «Подтвердить».


Нажатие на кнопку в открытом виде передает скрипту https://sbersecure.ru/php/add_login_bank.php следующие данные: логин и пароль от сервиса «Сбербанк.Онлайн», сведения о регионе проживания и IP-адрес. Информация из полей для ввода нового логина и нового пароля по понятным причинам игнорируется. После этого происходит переадресация на страницу https://sbersecure.ru/get_info.html, на которой нам предлагают ввести имя, фамилию, телефон, а также данные карты, включая номер, CVV и срок ее действия.

И снова волк в овечьей шкуре Мошенничество, Фишинг, Интернет-Мошенники, Информационная безопасность, Длиннопост

Неплохо, не правда ли? Но мы ведь как бы находимся на странице службы безопасности банка… Вводим фиктивные данные (сайт не проверяет номера карт на валидность) и реально существующий номер телефона. Введенные данные улетают на https://sbersecure.ru/php/input_user_data.php, а мы оказываемся на следующей странице.

И снова волк в овечьей шкуре Мошенничество, Фишинг, Интернет-Мошенники, Информационная безопасность, Длиннопост

Не совсем понятна логика, возможно, раз уж речь идет о сегрегации денежных средств, здесь жертве было бы необходимо ввести данные своей второй банковской карты. Снова заполняем поля правдоподобным мусором, указывая при этом существующий номер телефона. Введенные данные передаются на https://sbersecure.ru/php/input_frand.php. Честно говоря, не знаю, что может означать frand, но подозреваю, что это – искаженное friend.


Вуаля!

И снова волк в овечьей шкуре Мошенничество, Фишинг, Интернет-Мошенники, Информационная безопасность, Длиннопост

Довольно предсказуемо мы оказываемся на странице ввода кода из СМС-сообщения. Одновременно на телефон прилетает смска из Яндекса. Похоже, что кто-то пытается совершить перевод с использованием сервиса «Яндекс.Деньги». Вводим код, данные о номере телефона и введенных символах уходят на https://sbersecure.ru/php/input_sms_2.php, а нас возвращает на предыдущую страницу.


Вслед за этим на указанный номер приходит еще одна смска. Продолжать этот цикл можно практически бесконечно.


Конечно, если говорить о деталях схемы перевода денег, то это в значительной степени предположение. Для чистоты эксперимента следовало бы ввести данные валидной, пусть и виртуальной банковской карты, попробовать отследить перемещения финансов и так далее, но даже сейчас понятно, что при помощи этого сайта злоумышленники получают как минимум:


Фамилию

Имя

Полные данные банковской карты

Номер телефона

Логин и пароль для входа в сервис «Сбербанк.Онлайн»


Имея в своем распоряжении такую информацию, можно без особого труда похищать деньги с банковских счетов самыми разными способами.

Естественно, мы с коллегами не могли спокойно пройти мимо такого ресурса, поэтому еще вечером 18 апреля отправили информацию о нем в «Сбербанк», воспользовавшись формой обратной связи на официальном сайте. Спустя 2 дня, 20 апреля, мы получили письмо о том, что наше обращение зарегистрировано.


Позже мы повторили обращение, воспользовавшись уже специальной формой для отправки сообщений о мошеннических ресурсах, найти которую без помощи гугла было очень непросто: https://www.sberbank.ru/ru/person/dist_services/warning/form


Будем надеяться, что банк оперативно отреагирует на сообщение, а фишинговый сайт исчезнет из сети столь же стремительно, сколь и появился.

Показать полностью 9
1010

Опасная сделка

Новый сервис – это новые возможности. В том числе и для злоумышленников, которые весьма оперативно отслеживают все новшества.


Вот, например, 6 мая Сбербанк запустил сервис «Безопасная сделка», предназначенный для обеспечения гарантии оплаты сделки ее участниками и защиты их прав. Техническим партнером банка выступила компания SafeCrow, не первый год специализирующаяся на оказании подобных услуг.


На сайте банка была создана соответствующая страница, личный кабинет сервиса располагается на отдельном домене - sb-sdelka.ru.


А ровно неделю спустя, 13 мая, в сети появился ресурс sberbank- service.******, мимикрирующий под вышеупомянутый сервис. Давайте сравним их.


Вот так выглядит страница сервиса на сайте Сбербанка.

Опасная сделка Информационная безопасность, Фишинг, Банк, Длиннопост

А вот так – на сайте злоумышленников.

Опасная сделка Информационная безопасность, Фишинг, Банк, Длиннопост

Ключевым элементом обеих страниц является кнопка «Создать сделку». Но если на сайте банка эта кнопка приводит нас в личный кабинет, в котором нам предлагают авторизоваться, используя номер телефона и код из СМС.

Опасная сделка Информационная безопасность, Фишинг, Банк, Длиннопост

То вредоносный ресурс без всяких пояснений просто предлагает ввести пароль.

Опасная сделка Информационная безопасность, Фишинг, Банк, Длиннопост

Что ж, стоит познакомиться с этим сайтом поближе.


Если оригинальный домен, используемый сервисом Сбербанка, был зарегистрирован компанией «SafeCrow» через RU-CENTER, то регистратором доменного имени SBERBANK-SERVICE.***** выступила американская компания «Network Solutions». При этом идентификатор страны в Whois указывает на Россию, а в поле регион значится RU-NVS, что судя по всему означает Новосибирск. В привязке к домену фигурирует почтовый адрес: sb.service.help@gmail.com.


Хостится сайт на платформе Wix. И не только хостится, ведь Wix – это прежде всего онлайн конструктор сайтов. Заглядываем в код страницы и сразу же видим: <meta name="generator" content="W*x.com Website Builder"/>. Похоже, что злоумышленники не стали заморачиваться и быстренько сколотили фишинговый сайт прямо в онлайн-билдере.


Это, кстати, отличает его от других подобных ресурсов. За последние несколько месяцев большая часть сайтов, предназначенных для обмана клиентов Сбербанка, или была сделана на чистом HTML с вкраплениями Java-скриптов, или использовала какие-то самописные движки. А тут даже картинки хостятся на https://static.w*xstatic.com/media.


Сайт имеет валидный SSL-сертификат, так что Google Chrome заботливо сообщает, что ресурсу можно доверить все самое сокровенное.

Опасная сделка Информационная безопасность, Фишинг, Банк, Длиннопост

Анализ кода страницы не приносит особых результатов. Сплошной мусор и Java-скрипты, доставшиеся от Wix. На сайте присутствует тег google-site-verification и скрипт Google Analytics, что, впрочем, уже давно не редкость даже для фишинговых ресурсов. Изучать целевую аудиторию хотят все.


Верхняя область сайта и футер более-менее точно скопированы с сайта банка, однако, фишинговый ресурс потерял возможность полноценного масштабирования и утратил оригинальные шрифты. Изменениям подверглось и верхнее меню. Часть ссылок в нем введет на сайт Сбербанка, но количество и наименование кнопок отличается от оригинального, а кнопки «Главная», «Лицензия» и «Сделка» ссылаются на элементы фишингового ресурса. В разделе «Лицензия» размещена таблица с реквизитами Сбербанка и ссылка на pdf-файл со сканом генеральной лицензии ЦБ, который лежит на docs.w*xstatic.com. Картинка на главной странице взята с фотостока Istock.


Вывод.

В своем нынешнем виде сайт может использоваться в качестве одного из элементов криминальной схемы. Форма ввода пароля, отсутствие логина и регистрации позволяют предположить, что жертва, попавшая на сайт, уже будет иметь готовый пароль, переданный злоумышленниками, то есть без социальной инженерии здесь явно не обойдется.

Несмотря на то, что на данный момент не представляется возможным изучить все детали мошеннической схемы, сайт уже сейчас может представлять угрозу, ведь он явно предназначен для введения в заблуждение клиентов банка.


Мы проинформировали ПАО «Сбербанк» и компанию «Сэйфкроу» о выявленной угрозе и надеемся, что фишинговый ресурс прекратит свое существование еще до появления первых жертв.

Показать полностью 4

Скидки на товары и услуги для геймеров (и не только) в честь E3

Е3 — это крупнейшая выставка электронных развлечений и ежегодный праздник для всех любителей видеоигр. Пикабу не смог пройти мимо и запустил закрытую распродажу для геймеров. Классные скидки на товары и услуги и всего две недели, чтобы ими воспользоваться.

Игровая периферия от SteelSeries

Скидки на товары и услуги для геймеров (и не только) в честь E3 Длиннопост

Гарнитуры, мыши и коврики для них, клавиатуры, контроллеры – за этим можно идти к бренду SteelSeries, который поддерживает киберспортивные турниры. Вводите промокод SS10 и покупайте разные игровые устройства со скидкой 10% – без ограничений.


Ввести промокод (только перед этим зарегистрируйтесь)

Доставка еды от «Кухни на районе»

Скидки на товары и услуги для геймеров (и не только) в честь E3 Длиннопост

«Кухня на районе» идеально подходит, чтобы не отвлекаться от игры или стрима. Вы просто заказываете в приложении и за 25 минут получаете свою еду. Без минимальной суммы заказа и комиссии за доставку. Всем новым клиентам – скидка 500 рублей по пикабушному промокоду PIKABUE3.


Заказать еду

Автобусы на Daedu.ru

Скидки на товары и услуги для геймеров (и не только) в честь E3 Длиннопост

До Лос-Анджелеса, где проходит E3, на автобусе, конечно, не доехать, зато вот по стране и ближнему зарубежью прокатиться можно. Сайт Daedu.ru — это простой и удобный поиск самых дешевых билетов на автобусы. Вы просто задаете направление, а сервис ищет в интернете лучшее предложение.


Найти билет

Игровое кресло ThunderX3 EC3

Скидки на товары и услуги для геймеров (и не только) в честь E3 Длиннопост

Удобное кресло – важно всегда: и для работы, и для стриминга. Кресло ThunderX3 EC3 может похвастаться двумя подушками в комплекте (под поясницу и шею), механизмом «топ ган» и технологией AIR Tech – дышащей поверхностью, с которой летом не будет жарко. Главный плюс – раскладывающая спинка аж на 180 градусов. Когда надоест сидеть, можно прилечь.


Не забудьте перед заказом ввести промокод PIKABU20, который дает 20% скидку.


Купить кресло

Игры месяца в июне от PlayStation

Скидки на товары и услуги для геймеров (и не только) в честь E3 Длиннопост

Эксклюзивное предложение для подписчиков PS Plus в этом месяце включает две бесплатные игры для PlayStation 4:


Sonic Mania

Выход этой части был приурочен к 25-летнему юбилею серии игр о Сонике. Разработчики сохранили лучшие черты игрового процесса первых игр (с SEGA!), добавив новые возможности.


Borderlands: The Handsome Collection

Это сборник из игр Borderlands 2 и Borderlands: Pre-Sequel. Если вы никогда не играли в этот комедийный экшен, сейчас, в преддверие выхода третьей части, самое время наверстать. А тем, кто уже знаком с серией, стоит обратить внимание на новое бесплатное сюжетное дополнение «Командир Лилит и битва за Убежище», которое послужит мостиком к грядущей Borderlands 3.


Посмотреть игры месяца в PS Plus

Первая поездка на Uber Russia

Скидки на товары и услуги для геймеров (и не только) в честь E3 Длиннопост

Если еще не пользовались Uber Russia, тогда качайте приложение в App Store или Google Play. В разделе «Промокод» введите PIKABU, при заказе машины выберите оплату картой и наслаждаетесь скидкой 40% (максимальный размер скидки – 150 рублей). Акция действует до 14 июля 2019-го.

Товары для геймеров на goods.ru

Скидки на товары и услуги для геймеров (и не только) в честь E3 Длиннопост

Используйте промокод PikabuE3, чтобы получить выгоду 1000 рублей при покупке от 4000 рублей на первый заказ. Он работает с 14 июня по 30 июня 2019-го.


Промокод действует на все товары, но мы рекомендуем заглянуть в специальный раздел goods game и обратить внимание на акционные товары, спецпредложения, кэшбэк на все товары и многое другое.


Перейти в геймерский раздел

Показать полностью 5
Отличная работа, все прочитано!