Чудо-юдо рыба-«кит»

Наследники О. Бендера

добавить в избранное

Чудо-юдо рыба-«кит»

Прочитали: 19751 Комментариев: 46 Рейтинг: 72

26 мая 2020

Как мы уже неоднократно говорили, кризис, связанный с коронавирусом, вызвал резкий рост фишинга. Количество мошеннических предложений выросло более чем на 100%.

В течение марта 2020 года в базу нерекомендуемых и вредоносных сайтов был добавлен 186 881 интернет-адрес.

Февраль 2020	Март 2020	Динамика
+ 90 385	+ 186 881	+ 106.76%

Источник

Сайты блокируются, но мошенники неустанно создают новые.

Средний срок жизни фишерских сайтов — пять дней, но его вполне достаточно для мошенничества.

Источник

Кто делает все эти сайты? Вряд ли мы ошибемся, если предположим, что на рынке не наблюдается резкого спроса на разработку подобных ресурсов. Дело в том, что мошенничество, равно как и написание вредоносных программ, автоматизировано.

Процитируем один из наших прошлых выпусков:

Фишинг-кит – набор из нескольких готовых фишинговых сайтов, имитирующих внешний вид и поведение существующих интернет-ресурсов.

Источник

Зачем нужны подобные наборы? Цитата оттуда же:

Проведённая недавно инфильтрация фишинговых сетей показала примечательный факт: большинство фишеров – неопытные веб-хулиганы, простаки, которые

покупают за деньги на фишинговых форумах т.н. фишинг-кит (набор инструментов для фишинга) в виде zip архива,
меняют одну-единственную строчку – подставляют свой адрес эл. почты, и
загружают на веб сайт (который можно купить у провайдера легально или так же как и с китом – купить доступ к чужому).

Источник

Но вот что удивительно: новости связывают фишинг-киты исключительно с даркнетом – могучим и недоступным полиции.

Исследователь Дэвид Монтенегро (David Montenegro) обнаружил на одном из форумов даркнета рекламу нового пакета эксплоитов Disdain. Стоимость лицензии на использование EK составляет 80$ в день, 500$ в неделю и $1400 в месяц. Исследователи отмечают, стоимость нового EK немного ниже конкурентного пакета эксплоитов, предлагаемого за 100$, 600$ и 2,000$ соответственно.

Согласно рекламе Disdain, в EK включен следующий функционал:

Ротатор доменов
Обмен RSA ключам для эксплоитов
Отсутствие возможности отследить сервер управления
Геолокация
Отслеживание по браузерам и IP
Сканер доменов

Самое ценное в EK – это набор эксплоитов, используемых для взлома жертв.

Источник

Но, как хорошо известно, обычный Интернет предоставляет не меньше возможностей злоумышленникам, чем «темный».

Вот как выглядит упрощенная схема работы мошенников:

Источник

Сначала злоумышленник покупает скомпрометированный сервер (или использует хостинг) и загружает комплект фишинга на сервер.

Затем злоумышленник использует спам-сервис для отправки фишинговых писем потенциальным жертвам.

Жертвы попадают в фишинговую ловушку, посещают фишинговые страницы и вводят свои учетные данные.

Набор фишинга обрабатывает учетные данные и отправляет их на внешнюю учетную запись электронной почты.

Наконец, злоумышленник получает доступ к этой учетной записи электронной почты и получает новые учетные данные.

Источник

То есть делается копия какого-то сайта, регистрируется домен, и мошеннический ресурс выкладывается в Интернет.

Интересно, что фишинговые сайты содержат защиту от обнаружения:

Мы нашли много наборов фишинга, разработанных для того, чтобы избежать обнаружения с помощью файлов .htaccess и PHP-скриптов, которые блокируют соединения от компаний, занимающихся разведкой угроз, на основе таких атрибутов, как диапазоны IP-адресов источника, HTTP-реферер или заголовок агента пользователя.

Источник

13% комплектов фишинга содержат методы уклонения от черных списков, которые перенаправляют каждую новую жертву во вновь созданное случайное место.

Источник

И разрабатывают различные фишинговые наборы одни и те же люди – пособники воров.

Мы отслеживали отдельных злоумышленников и обнаружили одного, чей адрес электронной почты был обнаружен в более чем 115 уникальных фишинговых наборах.

Источник

Половина пакетов принадлежит большим семействам комплектов. В то время как треть принадлежат трем большим семействам комплектов. Это означает, что фишинговые комплекты поступают из ограниченного числа источников.

Источник

С другой стороны, злоумышленники ленивы и используют одни и те же клоны сайтов без изменений.

Мы обнаружили несколько наборов, которые были замечены на 30 различных хостах.

Источник

Ну и как всегда: продал набор – укради украденное у покупателя:

Злоумышленники, которые продают или распространяют фишинговые комплекты другим преступникам, замаскируют возможность предоставить себе доступа к взломанным хостам. Ясно, что среди воров нет чести!

Источник

Бесплатные фишинговые наборы часто содержат скрытые механизмы эксфильтрации, которые отправляют введенную информацию третьим лицам, которые, вероятно, являются авторами наборов.

Источник

Кстати, интересно: как к исследователям попадают фишинговые наборы?

После развертывания комплекта злоумышленники часто забывают удалить его, а когда сервер уязвим для обхода каталога, можно найти и загрузить комплект.

Источник

Фишинговые наборы бывают двух типов:

Большинство фишинговых наборов содержат все ресурсы, необходимые для копирования целевого веб-сайта, включая изображения, HTML-страницы и CSS-файлы. Это уменьшает количество запросов, которые выдает набор к целевому сайту, и, следовательно, вероятность обнаружения, если исходный сайт анализирует входящие запросы. Однако мы наблюдали несколько наборов с фишинговыми страницами, содержащими ссылки на оригинальные целевые сайты.

Источник

Первый тип – точная копия определенного сайта на какой-то момент времени. Минус такого подхода заключается в том, что нужно постоянно поддерживать актуальность набора, чтобы он не отличался от текущей версии копируемого ресурса. Второй тип – это как бы дополнительная страничка копируемого сайта. Здесь минус в том, что уйдя с нее по ссылкам сайта, жертва может и не вернуться обратно.

#фишинг #мошенничество #интернет #технологии

Антивирусная правДА! рекомендует

«Средний срок жизни фишерских сайтов — пять дней». Защита должна быть актуальной, не забывайте обновлять свой антивирус, чтобы информация о мошеннических сайтах не оказалась устаревшей.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Filip_s
17:41:01 2020-12-03

"Ну и как всегда: продал набор – укради украденное у покупателя"- тоесть заплати за продукт, а потом ещё и отдай половину прибыли. Весело там у них.

Dragstars
06:58:10 2020-05-30

И как поможет Dr.Web от этих сайтов?

kokuxo
02:04:12 2020-05-29

Я всегда доверяю надежному Dr.Web-у!

Sergey
05:58:05 2020-05-28

@Любитель_пляжного_футбола, я тоже уверен, что разберутся. Конструктивная критика им обязательно нужна, чтобы видели где есть проблемы и недоработки, а иначе антивирусный продукт перестанет развиваться и будет неэффективен. Повторюсь, что продукт себя декларирует как комплексный, т.е. имеющий многоуровневую и многомодульную защиту от большинства современных угроз, в том числе и от ФИШИНГА. Я понимаю, что это не такая простая задача, т.к. фишинговые сайты, как правило, "живут" всего несколько дней. Я сам регулярно направляю в "Доктор Веб" ссылки (URL) на пропущенные веб-защитой фишинговые сайты для проверки и добавления в базу, но, к сожалению, такая проверка в лаборатории занимает несколько дней и, как правило, мне на почту приходит ответ, что моя ссылка не добавлена, так как этот сайт уже не существует. Как говорится - проблема решилась сама собой)) Надеюсь, что разработчики "Доктор Веб" доведут этот вопрос до ума, а продукт станет еще эффективнее. Пожелаем им в этом успехов!

Альфа
00:03:22 2020-05-28

Про рекомендации от Dr.Web не забываем и обновляемся постоянно.

Любитель пляжного футбола Собкор
22:13:57 2020-05-27

@Sergey, спасибо, буду иметь в виду. Те антивирусы устанавливать точно не буду, не охота связываться, но с плагинами и теми сайтами как-нибудь на досуге поработаю, разберусь что к чему. А разработать такой компонент, думаю, несложно, гипотетическую схему работы я уже обрисовал, а в компании "Доктор Веб" люди работают куда умнее меня в области компьютерных технологий.

Sergey
21:35:42 2020-05-27

@Любитель_пляжного_футбола, полностью с Вами согласен. Для меня проблема фишинга знакома не понаслышке. Примерно года 2 назад при установленном Dr.Web Security Space при покупке в интернете лицензии к одной из программ я попал на фишинговый сайт платежной системы PayPal. Антивирус не пикнул и я благополучно отдал мошенникам данные своего Яндекс-кошелька и в итоге они успели кое-что перевести с моего счета на свой. Хорошо, что я вовремя спохватился и заблокировал кошелек. С тех пор, к сожалению, кардинально ничего не изменилось, несмотря на заявление "Доктор Веба" об успешной борьбе с фишингом - это увы далеко от реального состояния дел. Фишинговые сайты Dr.Web практически не блокирует. Хорошо блокируются в основном нерекомендуемые и немного похуже вредоносные сайты. Выдумывать и изобретать здесь что-то не надо, этим вопросом просто нужно постоянно заниматься. Возьмите для примера и установите себе антивирусы Bitdefender, ESET, McAfee, Kaspersky, Avira, Malwarebytes или хотя бы плагины (браузерные расширения) безопасности от этих вендоров и сразу увидите (почувствуете) разницу в блокировке фишинговых сайтов, он практически равен 100%. Для сравнения откройте сайты OpenPhish или PhishTank и проверьте работу защиты от фишинга хотя бы на нескольких ссылках (URL) в антивирусе Dr.Web. Уверяю Вас, что ситуация будет печальная, а затем сравните с работой веб-защиты от фишинга упомянутых мной выше вендоров. Как говорится - дистанция огромного размера. Они же почему-то могут эффективно защитить от фишинга. Хотелось, чтобы и Dr.Web был бы таким же эффективным в этом аспекте защиты и соответствовал статусу КОМПЛЕКСНОГО антивируса в полной мере. Повторюсь, что для этого нужно: желание, ресурсы и правильная организация работы. Будем надеяться, что разработчики решат этот вопрос. Как-то так.

anatol
20:41:12 2020-05-27

Кибермошенники не ушли на карантин, а в самоизоляции на удаленке удвоили усилия.

Любитель пляжного футбола Собкор
19:03:37 2020-05-27

@Sergey, не смог ответить раньше, был на работе. Когда печатал свой комментарий, не видел ваш, а по тексту выходит, словно отвечал на ваш комментарий. :) Я тогда писал больше про мошеннические сайты, что все их не выловить, не знаю, как их там определяют в компании, но думаю, что одним ручным трудом там дело не ограничивается, полагаю, задействованы какие-то алгоритмы определения. Что касается сайтов, которые подделываются под сайты известных компаний, т.е. фишинговые, то насчёт « уровня блокировки именно ФИШИНГОВЫХ сайтов в Dr.Web» ничего не могу сказать, поскольку мне не с чем сравнивать. На антивирус в таких ситуациях я и не надеюсь, а определяю подлинность сайта сам. Те сайты, которыми обычно пользуюсь, давно внёс в закладки, чтоб всем этим не заморачиваться.
Идея ваша интересная, полагаю, что всё-таки возможно наладить подобную автоматическую систему распознавания именно фишинговых сайтов. Не знаю, как это будет реализовано, но мне видится так, что составляется список официальных сайтов известных компаний и организаций (банки, соцсети, госучреждения, авиакомпании, сотовые операторы, популярные интернет-магазины…), база может быть достаточно большой, мне думается, что объём этой базы не будет критичным да и не будет занимать слишком много места, в базе того же антивируса много сигнатур всяких вирусов (но зловреды выявляются не только по ним, но и по характерному поведению). Понятно, что все существующие на данный момент хорошие и полезные сайты в этот список не включить, нельзя объять необъятного, как говорил Козьма Прутков, но тем не менее этого будет вполне достаточно. Да и многих совсем уж «чайников» выручит, которые не в курсе, что не следует заходить на сайт своего банка, переходя по ссылке в каком-то непонятном письме. :)
Этот инструмент, и правда, может очень выручить даже умудрённого годами пользователя, фишинговые сайты (сейчас я говорю об адресе сайта) не то что могут быть очень похожими (разница в букве или цифре), но и практически неотличимы от настоящих, где одна или несколько букв заменены схожими из другого алфавита или каким-нибудь очень похожим диакритическим знаком (кстати, в какой-то статье АВП об этом говорилось). Тут человеческий мозг уже практически бессилен и должен уступить своё место автомату. И вот при заходе на такой сайт, очень похожий на тот, что занесён в базу, антивирусом будет выдаваться информационное сообщение, что «сайт, на котором вы находитесь, возможно, является фишинговым (или другое более понятное для всех слово) или недавно поменял адрес» (теоретически это тоже возможно, хотя бывает редко). Не знаю, как будет это реализовано, я не программист, но раз существует, к примеру, поиск «по маске», то и другие более сложные механизмы поиска, идентификации и сопоставления, полагаю, тоже давно разработаны.
Что касается каких-нибудь малоизвестных сайтов, к примеру, по продаже батареек и аккумуляторов, то как определить, что это мошеннический или фишинговый сайт? Это может быть весьма непросто, нужно попробовать поискать информацию об этом магазине в интернете, возможные отзывы (которым на 100% тоже не следует доверять), порыться наконец на самом сайте, посмотреть, как он устроен, как настоящий или так себе. И только после этого со всеми предосторожностями приступать к оформлению заказа. Любителям совершать покупки на малоизвестных сайтах (к их числу я не отношусь и делаю это крайне-крайне редко) могу посоветовать ещё оформить виртуальную карту (чтоб не "светить" данные основной), можно и одноразовую, если такая возможность есть в их банке. Моё мнение, что антивирус в случае с малоизвестными сайтами не очень поможет, ибо их вельми много. И тем паче со всякими иностранными (также малоизвестными). Всех их в базу не внести. Но антивирус, разработав данный антифишинговый механизм, может также объявить о сотрудничестве, в рамках которого интернет-магазины, заинтересованные в том, чтобы их клиенты не попадали на какие-то левые сайты, могут подать заявку о включении их сайта в базу данных антивируса. Разумеется, бесплатно.
Идея ваша, повторюсь, интересна, @admin, я не знаю вообще, внедрён ли в антивирус какой-либо механизм выявления именно фишинговых (не просто мошеннических) сайтов. Если нет, то его, полагаю, стоило бы разработать. Не думаю, что это было бы технически сложно, для этой цели можно было бы адаптировать уже существующие технологии поиска, больше времени, думаю, займёт наполнение базы данных сайтов, но тоже не слишком много. Но реализация этой задумки добавит антивирусу Dr.Web зело много плюсов при наличии соответствующей рекламы данного компонента.

yusufenko
23:22:18 2020-05-26

Dr.Web всегда работает на все 100% и защищает надёжно!

dyadya_Sasha Собкор
22:03:30 2020-05-26

Вода помутнела и сразу рыбаков развелось... Опасно, но я спокоен, ведь я не Рыбы... я - Рак.))

Геральт Собкор
21:11:38 2020-05-26

На антивирус надейся, а сам не плошай.

L1t1um
20:27:42 2020-05-26

Давным-давно доверил защиту своего ПК и смартфона надежному Dr.Web-у!

Шалтай Александр Болтай Собкор
20:09:17 2020-05-26

— Вась, поехали сегодня на рыбалку! — Нет, сегодня не поеду. — А что так? — Я в гороскопе читал, этот день благоприятен для рыб.

Татьяна
19:58:22 2020-05-26

Мой компьютер и телефон под надежной защитой Dr.Web!

Денисенко Павел Андреевич
19:40:09 2020-05-26

Фишерских сайтов во время эпидемии коронавируса стало еще больше и больше...Надо быть осторожным.

tigra Собкор
19:22:43 2020-05-26

Я б в мошенники пошёл - пусть меня научат!!!)))а пока приходится горб мять для добычи пропитания(((

Slava90
18:55:51 2020-05-26

Спасибо за информацию. Drweb надёжно защищает.

Toma
17:59:25 2020-05-26

"Количество мошеннических предложений выросло более чем на 100%!" И это за месяц! Осторожность не помешает, спасибо!

Serg07
15:54:48 2020-05-26

Очень интересная статья. В библиотеку. Спасибо.

Masha
15:17:12 2020-05-26

В карантин все мошенники активизировались. Спасибо Dr.Web за защиту!

ka_s
14:38:50 2020-05-26

Коронавирус активизировал попытки сделать из обычных пользователей лохов. "Антивирусная правДА!" помогает избежать осложнений при пандемии. Спасибо!

kozinka.ru Собкор
14:37:59 2020-05-26

Как защититься от этого? Прежде всего нужно призвать на помощь здравый смысл.

Korney
14:28:43 2020-05-26

На "паучка" надейся, но и сам не плошай!

Zserg
12:53:21 2020-05-26

Кто дружит с фишерами, а кто и нет. А на самом деле?

Lenba
12:50:53 2020-05-26

Сдавайся, дядя фишер, и всё будет вот так!

runikot
12:34:55 2020-05-26

Без л@ха жизнь плоха

Sasha50 Собкор
11:55:00 2020-05-26

Я и смотрю стало часто: куда не пойдешь, DrWeb предупреждает: "Туда не ходи, сюда не ходи".

vinnetou
11:37:37 2020-05-26

Защита всегда должна быть актуальной,не забываем про её обновления!!!

maestro431
11:13:58 2020-05-26

Часто попадал на такие сайты. Однако Dr. Web их блокировал.

Dmur
10:28:11 2020-05-26

С фишерскими сайтами необходимо бороться.

Alexander Собкор
10:23:30 2020-05-26

Как попасть на фишинговый сайт? Способов немало... письмо, сообщение, ошибочный набор адреса, переход по нелегитимной ссылке, и, даже, по предложениям поисковиков-монстров... Конечно, весь фишинг не возможно включить в "стоп-лист".

Пребывание в Интернете в поиске своего интереса, в страстных блужданиях, с торопливостью и азартом охотника за желаемым, стоит не забывать включать периодически осторожность и внимательность. Проверить и перепроверить сайт, предлагающий услугу, его адрес, "рожу, и одёжу"...

Совсем не сложно сделать первичную проверку. Например, "перекрёстный допрос" нескольких поисковиков, найти отзывы, сравнить адреса, перейти по ссылке на солидных проверенных сайтах, которым доверяешь.

P.S. Многое может Dr.Web. И коня (трояна) на скаку остановит, и в горящую (завирусованную) избу войдёт... Честь Ему и хвала! Но даже Он не в силах всегда предотвращать последствия невнимательности, глупости и поспешности наших поступков в определённые периоды жизни.

TV
09:38:39 2020-05-26

не единожды паучок спасал от фишерских сайтов

orw_mikle
09:05:32 2020-05-26

Антивирус Dr.Web обновляется каждый день, сразу при включении ПК.

admin_29
08:58:06 2020-05-26

Скоро в Интернете кроме обмана и попыток развода на деньги ничего не останется

Dvakota
08:37:38 2020-05-26

Целая индустрия желающих обмануть и развести! Только держись!

Неуёмный Обыватель Собкор
08:29:57 2020-05-26

Да, сам недавно столкнулся с примером фишингового сайта не протянувшего и несколько дней. Впрочем, держателю больше вряд ли было нужно, дабы лишний раз не палиться и не нарываться.

Vlad X
08:08:27 2020-05-26

Перспективы цифровой экономики не радуют при таком объеме
фишинга.Не все продвинутые пользователи и учится особо не
хотят,так что для ловцов улов будет хороший.

Пaвeл Собкор
07:28:20 2020-05-26

При таком объёме фишинговых сайтов задача по их выявлению становится просто не реальной.

vkor
07:09:02 2020-05-26

Мошенническое дело поставлено на поток.

Sergey
07:06:42 2020-05-26

@Любитель_пляжного_футбола, правильно, пользователь сам должен быть внимательным и уметь отличать фишинговый сайт от официального, но ведь еще и должна быть соответствующая помощь (отдача) от антивируса за которую мы отдаем свои деньги. Не все пользователи такие внимательные и продвинутые. Вот ведь мониторинг и защиту от вирусов в Dr.Web сумел организовать, хотя угрозы тоже появляются каждый день и в большом количестве.

Любитель пляжного футбола Собкор
06:49:12 2020-05-26

Сколько бы эти сайты ни вносили во всякие чёрные списки, все всё равно не внести, ни за пять дней, ни за десять, если их каждый день тысячи появляются, как их тут повылавливать. Поэтому нужно уметь и самому распознавать подобные сайты-подделки.

Sergey
06:29:45 2020-05-26

Согласен с автором, что динамика роста количества фишинговых и мошеннических сайтов в последнее время неуклонно растет. Если мошеннические (нерекомендуемые) сайты своевременно выявляются и блокируются веб-защитой Dr.Web, то, к большому сожалению, должен признать, что уровень блокировки именно ФИШИНГОВЫХ сайтов в Dr.Web находится на низком (неудовлетворительном) уровне и для безопасного совершения платежных операций на сайтах приходится использовать сторонние расширения защиты для браузеров. Хочется, чтобы эта работа в "Доктор Веб" была поставлена на должный уровень и постоянно совершенствовалась.

EvgenyZ
06:01:28 2020-05-26

Ловцов рыбы в мутной воде не мало. Нужна надёжная защита.

Xamanaptr
05:29:53 2020-05-26

Люди сидят без работы, без оплаты, все ищут какую-нибудь удаленную работу. Часть из них становится жертвами таких сайтов, а другая часть судя по всему их создателями.

achemolganskiy
04:55:18 2020-05-26

10 - прочитали. Комментариев-0. Простые пользователи. Как и ach-y.

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Чудо-юдо рыба-«кит»

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей