1010

Опасная сделка

Новый сервис – это новые возможности. В том числе и для злоумышленников, которые весьма оперативно отслеживают все новшества.


Вот, например, 6 мая Сбербанк запустил сервис «Безопасная сделка», предназначенный для обеспечения гарантии оплаты сделки ее участниками и защиты их прав. Техническим партнером банка выступила компания SafeCrow, не первый год специализирующаяся на оказании подобных услуг.


На сайте банка была создана соответствующая страница, личный кабинет сервиса располагается на отдельном домене - sb-sdelka.ru.


А ровно неделю спустя, 13 мая, в сети появился ресурс sberbank- service.******, мимикрирующий под вышеупомянутый сервис. Давайте сравним их.


Вот так выглядит страница сервиса на сайте Сбербанка.

Опасная сделка Информационная безопасность, Фишинг, Банк, Длиннопост

А вот так – на сайте злоумышленников.

Опасная сделка Информационная безопасность, Фишинг, Банк, Длиннопост

Ключевым элементом обеих страниц является кнопка «Создать сделку». Но если на сайте банка эта кнопка приводит нас в личный кабинет, в котором нам предлагают авторизоваться, используя номер телефона и код из СМС.

Опасная сделка Информационная безопасность, Фишинг, Банк, Длиннопост

То вредоносный ресурс без всяких пояснений просто предлагает ввести пароль.

Опасная сделка Информационная безопасность, Фишинг, Банк, Длиннопост

Что ж, стоит познакомиться с этим сайтом поближе.


Если оригинальный домен, используемый сервисом Сбербанка, был зарегистрирован компанией «SafeCrow» через RU-CENTER, то регистратором доменного имени SBERBANK-SERVICE.***** выступила американская компания «Network Solutions». При этом идентификатор страны в Whois указывает на Россию, а в поле регион значится RU-NVS, что судя по всему означает Новосибирск. В привязке к домену фигурирует почтовый адрес: sb.service.help@gmail.com.


Хостится сайт на платформе Wix. И не только хостится, ведь Wix – это прежде всего онлайн конструктор сайтов. Заглядываем в код страницы и сразу же видим: <meta name="generator" content="W*x.com Website Builder"/>. Похоже, что злоумышленники не стали заморачиваться и быстренько сколотили фишинговый сайт прямо в онлайн-билдере.


Это, кстати, отличает его от других подобных ресурсов. За последние несколько месяцев большая часть сайтов, предназначенных для обмана клиентов Сбербанка, или была сделана на чистом HTML с вкраплениями Java-скриптов, или использовала какие-то самописные движки. А тут даже картинки хостятся на https://static.w*xstatic.com/media.


Сайт имеет валидный SSL-сертификат, так что Google Chrome заботливо сообщает, что ресурсу можно доверить все самое сокровенное.

Опасная сделка Информационная безопасность, Фишинг, Банк, Длиннопост

Анализ кода страницы не приносит особых результатов. Сплошной мусор и Java-скрипты, доставшиеся от Wix. На сайте присутствует тег google-site-verification и скрипт Google Analytics, что, впрочем, уже давно не редкость даже для фишинговых ресурсов. Изучать целевую аудиторию хотят все.


Верхняя область сайта и футер более-менее точно скопированы с сайта банка, однако, фишинговый ресурс потерял возможность полноценного масштабирования и утратил оригинальные шрифты. Изменениям подверглось и верхнее меню. Часть ссылок в нем введет на сайт Сбербанка, но количество и наименование кнопок отличается от оригинального, а кнопки «Главная», «Лицензия» и «Сделка» ссылаются на элементы фишингового ресурса. В разделе «Лицензия» размещена таблица с реквизитами Сбербанка и ссылка на pdf-файл со сканом генеральной лицензии ЦБ, который лежит на docs.w*xstatic.com. Картинка на главной странице взята с фотостока Istock.


Вывод.

В своем нынешнем виде сайт может использоваться в качестве одного из элементов криминальной схемы. Форма ввода пароля, отсутствие логина и регистрации позволяют предположить, что жертва, попавшая на сайт, уже будет иметь готовый пароль, переданный злоумышленниками, то есть без социальной инженерии здесь явно не обойдется.

Несмотря на то, что на данный момент не представляется возможным изучить все детали мошеннической схемы, сайт уже сейчас может представлять угрозу, ведь он явно предназначен для введения в заблуждение клиентов банка.


Мы проинформировали ПАО «Сбербанк» и компанию «Сэйфкроу» о выявленной угрозе и надеемся, что фишинговый ресурс прекратит свое существование еще до появления первых жертв.

Найдены возможные дубликаты

Вы смотрите срез комментариев. Показать все
+1
Автор..наличие у сайта сертификата ссл не означает что сайту можно доверять..это всего лишь означает что никто кроме владельцев сайта не получит передаваемую информацию
раскрыть ветку 20
+7

Не совсем так. Сертификаты бывают разные. Самый простой сертификат удостоверяет только домен. То гарантирует, что введя в адресной строке site.ru у тебя действительно отрывается site.ru и что данные не были изменены третьими лицами (ну и как прияный бонус шифрование). Однако есть сертификаты более высоких уровней которые в числе всего прочего подтверждают и то, что сайт пренадлежит определенной компании, а не просто мимикрирует под него. Но в данном случае простой сертификат домена.

раскрыть ветку 17
+1

Вот тебе и бесплатные сертификаты. Хоть бы в браузерах сделали отображение инфы что этот сертификат удостоверяет. А то мало того что неопытных пользователей вводят в заблуждение так еще и опытным не дают простой возможности посмотреть эту информацию.

раскрыть ветку 14
0
А не подскажете как их отличать и понимать?
раскрыть ветку 1
+1
это ты такой умный, а большинство обывателей введут туда все свои данные, потому что они понятия не имеют обо всем, что написано в посте
0

Я знаю, это была ирония по поводу сообщения браузера. Довольно часто приходится встречать в сети статьи, в которых написано, что если вы хотите определить фишинговый это сайт или нет, посмотрите на наличие сертификата. А сейчас фишинговые сайты все чаще имеют валидные сертификаты.

Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку
Похожие посты
Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: