1007

Опасная сделка

Новый сервис – это новые возможности. В том числе и для злоумышленников, которые весьма оперативно отслеживают все новшества.


Вот, например, 6 мая Сбербанк запустил сервис «Безопасная сделка», предназначенный для обеспечения гарантии оплаты сделки ее участниками и защиты их прав. Техническим партнером банка выступила компания SafeCrow, не первый год специализирующаяся на оказании подобных услуг.


На сайте банка была создана соответствующая страница, личный кабинет сервиса располагается на отдельном домене - sb-sdelka.ru.


А ровно неделю спустя, 13 мая, в сети появился ресурс sberbank- service.******, мимикрирующий под вышеупомянутый сервис. Давайте сравним их.


Вот так выглядит страница сервиса на сайте Сбербанка.

Опасная сделка Информационная безопасность, Фишинг, Банк, Длиннопост

А вот так – на сайте злоумышленников.

Опасная сделка Информационная безопасность, Фишинг, Банк, Длиннопост

Ключевым элементом обеих страниц является кнопка «Создать сделку». Но если на сайте банка эта кнопка приводит нас в личный кабинет, в котором нам предлагают авторизоваться, используя номер телефона и код из СМС.

Опасная сделка Информационная безопасность, Фишинг, Банк, Длиннопост

То вредоносный ресурс без всяких пояснений просто предлагает ввести пароль.

Опасная сделка Информационная безопасность, Фишинг, Банк, Длиннопост

Что ж, стоит познакомиться с этим сайтом поближе.


Если оригинальный домен, используемый сервисом Сбербанка, был зарегистрирован компанией «SafeCrow» через RU-CENTER, то регистратором доменного имени SBERBANK-SERVICE.***** выступила американская компания «Network Solutions». При этом идентификатор страны в Whois указывает на Россию, а в поле регион значится RU-NVS, что судя по всему означает Новосибирск. В привязке к домену фигурирует почтовый адрес: sb.service.help@gmail.com.


Хостится сайт на платформе Wix. И не только хостится, ведь Wix – это прежде всего онлайн конструктор сайтов. Заглядываем в код страницы и сразу же видим: <meta name="generator" content="W*x.com Website Builder"/>. Похоже, что злоумышленники не стали заморачиваться и быстренько сколотили фишинговый сайт прямо в онлайн-билдере.


Это, кстати, отличает его от других подобных ресурсов. За последние несколько месяцев большая часть сайтов, предназначенных для обмана клиентов Сбербанка, или была сделана на чистом HTML с вкраплениями Java-скриптов, или использовала какие-то самописные движки. А тут даже картинки хостятся на https://static.w*xstatic.com/media.


Сайт имеет валидный SSL-сертификат, так что Google Chrome заботливо сообщает, что ресурсу можно доверить все самое сокровенное.

Опасная сделка Информационная безопасность, Фишинг, Банк, Длиннопост

Анализ кода страницы не приносит особых результатов. Сплошной мусор и Java-скрипты, доставшиеся от Wix. На сайте присутствует тег google-site-verification и скрипт Google Analytics, что, впрочем, уже давно не редкость даже для фишинговых ресурсов. Изучать целевую аудиторию хотят все.


Верхняя область сайта и футер более-менее точно скопированы с сайта банка, однако, фишинговый ресурс потерял возможность полноценного масштабирования и утратил оригинальные шрифты. Изменениям подверглось и верхнее меню. Часть ссылок в нем введет на сайт Сбербанка, но количество и наименование кнопок отличается от оригинального, а кнопки «Главная», «Лицензия» и «Сделка» ссылаются на элементы фишингового ресурса. В разделе «Лицензия» размещена таблица с реквизитами Сбербанка и ссылка на pdf-файл со сканом генеральной лицензии ЦБ, который лежит на docs.w*xstatic.com. Картинка на главной странице взята с фотостока Istock.


Вывод.

В своем нынешнем виде сайт может использоваться в качестве одного из элементов криминальной схемы. Форма ввода пароля, отсутствие логина и регистрации позволяют предположить, что жертва, попавшая на сайт, уже будет иметь готовый пароль, переданный злоумышленниками, то есть без социальной инженерии здесь явно не обойдется.

Несмотря на то, что на данный момент не представляется возможным изучить все детали мошеннической схемы, сайт уже сейчас может представлять угрозу, ведь он явно предназначен для введения в заблуждение клиентов банка.


Мы проинформировали ПАО «Сбербанк» и компанию «Сэйфкроу» о выявленной угрозе и надеемся, что фишинговый ресурс прекратит свое существование еще до появления первых жертв.

Найдены возможные дубликаты

+29

Предвижу объявления на Авито: "я готов купить у вас телефон/собаку/машину ..., но я нахожусь далеко, и мне нужны гарантии, чтобы я приехал и точно купил. Давайте составим сделку в Сбербанке..."

+38

Анализ кода страницы не приносит особых результатов. Сплошной мусор и Java-скрипты,

Иллюстрация к комментарию
раскрыть ветку 7
0

Да, накосячил. Конечно же JavaScript.

-6

гуманитарий!

раскрыть ветку 5
+9

Гуманитарии отличают java от javascript?

раскрыть ветку 4
ещё комментарии
+17

что у тебя со всеми буквами Й в посте? о_О

Иллюстрация к комментарию
раскрыть ветку 5
+28

Дисплей наклонили - вот незакрепленные элементи и поехали

раскрыть ветку 2
0

у меня тоже самое (Браузер Мозила FF, ОС Win10 )

Иллюстрация к комментарию
раскрыть ветку 1
+4

Это у тебя

-2

Наверное кривой андройд.

+13

Особенно умиляет заголовок на странице входа - "Зона для гостей".

Видать, зона занимает в жизни авторов значительное место.

+4

В викс-то написали? Или решили подождать, пока сбербанк полгода вашу заявочку между отделами погоняет?

раскрыть ветку 3
+2

Уж виксу больше всех до пизды. Пусть любители блокировок такие сайты блокируют, они хорошо надрочились.

раскрыть ветку 1
+1

Wix то как раз и отреагирует быстрее всех, такие сайты закрывают в течении нескольких часов.

-1

Если он полгода будет ганять заявочку, значит он и виноват, что не эффективно работает.

+5

тот самый момент, когда у жулья сайт сверстан лучше, чем у Сбербанка

Иллюстрация к комментарию
+2
В нашей стране куча новых законов о блокировке сайтов. Вроде можно даже без решения суда сайт заблокировать. Но на этот сайт правохранителям будет похуй. Не Навальный же...
+1

В доменной зоне .ru сайт с таким именем вообще на вордпрессе

+1
Автор..наличие у сайта сертификата ссл не означает что сайту можно доверять..это всего лишь означает что никто кроме владельцев сайта не получит передаваемую информацию
раскрыть ветку 20
+7

Не совсем так. Сертификаты бывают разные. Самый простой сертификат удостоверяет только домен. То гарантирует, что введя в адресной строке site.ru у тебя действительно отрывается site.ru и что данные не были изменены третьими лицами (ну и как прияный бонус шифрование). Однако есть сертификаты более высоких уровней которые в числе всего прочего подтверждают и то, что сайт пренадлежит определенной компании, а не просто мимикрирует под него. Но в данном случае простой сертификат домена.

раскрыть ветку 17
+1

Вот тебе и бесплатные сертификаты. Хоть бы в браузерах сделали отображение инфы что этот сертификат удостоверяет. А то мало того что неопытных пользователей вводят в заблуждение так еще и опытным не дают простой возможности посмотреть эту информацию.

раскрыть ветку 14
0
А не подскажете как их отличать и понимать?
раскрыть ветку 1
+1
это ты такой умный, а большинство обывателей введут туда все свои данные, потому что они понятия не имеют обо всем, что написано в посте
0

Я знаю, это была ирония по поводу сообщения браузера. Довольно часто приходится встречать в сети статьи, в которых написано, что если вы хотите определить фишинговый это сайт или нет, посмотрите на наличие сертификата. А сейчас фишинговые сайты все чаще имеют валидные сертификаты.

0

новый сервис – безопасная спизделка!

безопасная спизделка – у тебя спиздили, а ты и не узнаешь!

раскрыть ветку 1
0

Безопасно для тех, кто п*здит)))

-1

Пользовался несколько раз SafeCrow - очень хороший сервис.

-1

Про каждый фишинговый сайт может пост запилить?

раскрыть ветку 1
+1

Пожалуйста, пили, тебе никто не запрещает.

-3

Просто у одни мошенники копируют других мошенников.

Мошенников с лицензией.

-4

"так что Google Chrome заботливо сообщает, что ресурсу можно доверить все самое сокровенное."

Что за бред? Где там такое написано?

раскрыть ветку 5
+10

А что еще обычный пользователь подумает увидев инфу "Безопасное соединение", "информация защищена", "действительный сертификат"?

Что все гуд и сайту можно доверять.

раскрыть ветку 1
+2

он её не увидит. кто на этот замочек вообще внимание обращает после принудительного перехода на https?

0

На скриншоте видно. На самом деле это сарказм, но вот только многие пользователи считают, что если у сайтаесть "иконка с замочком", то это не фишинговый ресурс. Такое мнение до сих пор встречается в СМИ. Мне хотелось обратить внимание на то, что наличие SSL-сертификата ни коим образом не корелирует с благонадежностью ресурса.

-6

ребенок неотдупляет что такое ssl и зачем нужны сертификаты

раскрыть ветку 1
0

дак не только ребенки не отдупляют)) ещё большинство взрослых не отдупляют этого.. да че уж мелочиться, я сам не понимаю особо для чего эти сертификаты(мне эта информация не нужна в моей голове на данный момент) подключая их к рабочим доменам, чтобы поисковики возлюбили сайты продвигаемые..

ещё комментарии
-5

Тс блять ты че с луны свалился? На каждую компанию, где дохуя клиентов есть овер дохуя сайтов фишинговых. Что теперь обосраться и не создавать новые продукты?

Вроде как в этом сервисе все по смс - скорее всего мошенники хуй получат бабки тока зная пароль. Скорее всего придется еще как то контактировать с жертвой.

раскрыть ветку 1
+1
Не в этом дело. Мошенники могут проводить свои сделки через этот сайт, выдавая его за оригинальный. Тогда не нужно никаких паролей от спёрбанка знать, достаточно, чтоб человек сам свои деньги перевёл по выданным мошенникам реквизитам.
-13

осспаде блядь, сколько пафоса. деточка, фишинговых сайтов в интернете миллионы, ты не заебешься столько буков строчить про каждый?

по хуису пробил, хостеру и регистратору стуканул, всё!

нахуя этот высер тут?


на хабр-то не забыл кроспостнуть?

ещё комментарии
Похожие посты
Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: