Чудо-юдо рыба-«кит»
26 мая 2020
Как мы уже неоднократно говорили, кризис, связанный с коронавирусом, вызвал резкий рост фишинга. Количество мошеннических предложений выросло более чем на 100%.
В течение марта 2020 года в базу нерекомендуемых и вредоносных сайтов был добавлен 186 881 интернет-адрес.
Февраль 2020 | Март 2020 | Динамика |
---|---|---|
+ 90 385 | + 186 881 | + 106.76% |
Сайты блокируются, но мошенники неустанно создают новые.
Средний срок жизни фишерских сайтов — пять дней, но его вполне достаточно для мошенничества.
Кто делает все эти сайты? Вряд ли мы ошибемся, если предположим, что на рынке не наблюдается резкого спроса на разработку подобных ресурсов. Дело в том, что мошенничество, равно как и написание вредоносных программ, автоматизировано.
Процитируем один из наших прошлых выпусков:
Фишинг-кит – набор из нескольких готовых фишинговых сайтов, имитирующих внешний вид и поведение существующих интернет-ресурсов.
Зачем нужны подобные наборы? Цитата оттуда же:
Проведённая недавно инфильтрация фишинговых сетей показала примечательный факт: большинство фишеров – неопытные веб-хулиганы, простаки, которые
- покупают за деньги на фишинговых форумах т.н. фишинг-кит (набор инструментов для фишинга) в виде zip архива,
- меняют одну-единственную строчку – подставляют свой адрес эл. почты, и
- загружают на веб сайт (который можно купить у провайдера легально или так же как и с китом – купить доступ к чужому).
Но вот что удивительно: новости связывают фишинг-киты исключительно с даркнетом – могучим и недоступным полиции.
Исследователь Дэвид Монтенегро (David Montenegro) обнаружил на одном из форумов даркнета рекламу нового пакета эксплоитов Disdain. Стоимость лицензии на использование EK составляет 80$ в день, 500$ в неделю и $1400 в месяц. Исследователи отмечают, стоимость нового EK немного ниже конкурентного пакета эксплоитов, предлагаемого за 100$, 600$ и 2,000$ соответственно.
Согласно рекламе Disdain, в EK включен следующий функционал:
- Ротатор доменов
- Обмен RSA ключам для эксплоитов
- Отсутствие возможности отследить сервер управления
- Геолокация
- Отслеживание по браузерам и IP
- Сканер доменов
Самое ценное в EK – это набор эксплоитов, используемых для взлома жертв.
Но, как хорошо известно, обычный Интернет предоставляет не меньше возможностей злоумышленникам, чем «темный».
Вот как выглядит упрощенная схема работы мошенников:
Сначала злоумышленник покупает скомпрометированный сервер (или использует хостинг) и загружает комплект фишинга на сервер.
Затем злоумышленник использует спам-сервис для отправки фишинговых писем потенциальным жертвам.
Жертвы попадают в фишинговую ловушку, посещают фишинговые страницы и вводят свои учетные данные.
Набор фишинга обрабатывает учетные данные и отправляет их на внешнюю учетную запись электронной почты.
Наконец, злоумышленник получает доступ к этой учетной записи электронной почты и получает новые учетные данные.
То есть делается копия какого-то сайта, регистрируется домен, и мошеннический ресурс выкладывается в Интернет.
Интересно, что фишинговые сайты содержат защиту от обнаружения:
Мы нашли много наборов фишинга, разработанных для того, чтобы избежать обнаружения с помощью файлов .htaccess и PHP-скриптов, которые блокируют соединения от компаний, занимающихся разведкой угроз, на основе таких атрибутов, как диапазоны IP-адресов источника, HTTP-реферер или заголовок агента пользователя.
13% комплектов фишинга содержат методы уклонения от черных списков, которые перенаправляют каждую новую жертву во вновь созданное случайное место.
И разрабатывают различные фишинговые наборы одни и те же люди – пособники воров.
Мы отслеживали отдельных злоумышленников и обнаружили одного, чей адрес электронной почты был обнаружен в более чем 115 уникальных фишинговых наборах.
Половина пакетов принадлежит большим семействам комплектов. В то время как треть принадлежат трем большим семействам комплектов. Это означает, что фишинговые комплекты поступают из ограниченного числа источников.
С другой стороны, злоумышленники ленивы и используют одни и те же клоны сайтов без изменений.
Мы обнаружили несколько наборов, которые были замечены на 30 различных хостах.
Ну и как всегда: продал набор – укради украденное у покупателя:
Злоумышленники, которые продают или распространяют фишинговые комплекты другим преступникам, замаскируют возможность предоставить себе доступа к взломанным хостам. Ясно, что среди воров нет чести!
Бесплатные фишинговые наборы часто содержат скрытые механизмы эксфильтрации, которые отправляют введенную информацию третьим лицам, которые, вероятно, являются авторами наборов.
Кстати, интересно: как к исследователям попадают фишинговые наборы?
После развертывания комплекта злоумышленники часто забывают удалить его, а когда сервер уязвим для обхода каталога, можно найти и загрузить комплект.
Фишинговые наборы бывают двух типов:
Большинство фишинговых наборов содержат все ресурсы, необходимые для копирования целевого веб-сайта, включая изображения, HTML-страницы и CSS-файлы. Это уменьшает количество запросов, которые выдает набор к целевому сайту, и, следовательно, вероятность обнаружения, если исходный сайт анализирует входящие запросы. Однако мы наблюдали несколько наборов с фишинговыми страницами, содержащими ссылки на оригинальные целевые сайты.
Первый тип – точная копия определенного сайта на какой-то момент времени. Минус такого подхода заключается в том, что нужно постоянно поддерживать актуальность набора, чтобы он не отличался от текущей версии копируемого ресурса. Второй тип – это как бы дополнительная страничка копируемого сайта. Здесь минус в том, что уйдя с нее по ссылкам сайта, жертва может и не вернуться обратно.
Антивирусная правДА! рекомендует
«Средний срок жизни фишерских сайтов — пять дней». Защита должна быть актуальной, не забывайте обновлять свой антивирус, чтобы информация о мошеннических сайтах не оказалась устаревшей.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Filip_s
17:41:01 2020-12-03
Dragstars
06:58:10 2020-05-30
kokuxo
02:04:12 2020-05-29
Sergey
05:58:05 2020-05-28
Альфа
00:03:22 2020-05-28
Любитель пляжного футбола
22:13:57 2020-05-27
Sergey
21:35:42 2020-05-27
anatol
20:41:12 2020-05-27
Любитель пляжного футбола
19:03:37 2020-05-27
Идея ваша интересная, полагаю, что всё-таки возможно наладить подобную автоматическую систему распознавания именно фишинговых сайтов. Не знаю, как это будет реализовано, но мне видится так, что составляется список официальных сайтов известных компаний и организаций (банки, соцсети, госучреждения, авиакомпании, сотовые операторы, популярные интернет-магазины…), база может быть достаточно большой, мне думается, что объём этой базы не будет критичным да и не будет занимать слишком много места, в базе того же антивируса много сигнатур всяких вирусов (но зловреды выявляются не только по ним, но и по характерному поведению). Понятно, что все существующие на данный момент хорошие и полезные сайты в этот список не включить, нельзя объять необъятного, как говорил Козьма Прутков, но тем не менее этого будет вполне достаточно. Да и многих совсем уж «чайников» выручит, которые не в курсе, что не следует заходить на сайт своего банка, переходя по ссылке в каком-то непонятном письме. :)
Этот инструмент, и правда, может очень выручить даже умудрённого годами пользователя, фишинговые сайты (сейчас я говорю об адресе сайта) не то что могут быть очень похожими (разница в букве или цифре), но и практически неотличимы от настоящих, где одна или несколько букв заменены схожими из другого алфавита или каким-нибудь очень похожим диакритическим знаком (кстати, в какой-то статье АВП об этом говорилось). Тут человеческий мозг уже практически бессилен и должен уступить своё место автомату. И вот при заходе на такой сайт, очень похожий на тот, что занесён в базу, антивирусом будет выдаваться информационное сообщение, что «сайт, на котором вы находитесь, возможно, является фишинговым (или другое более понятное для всех слово) или недавно поменял адрес» (теоретически это тоже возможно, хотя бывает редко). Не знаю, как будет это реализовано, я не программист, но раз существует, к примеру, поиск «по маске», то и другие более сложные механизмы поиска, идентификации и сопоставления, полагаю, тоже давно разработаны.
Что касается каких-нибудь малоизвестных сайтов, к примеру, по продаже батареек и аккумуляторов, то как определить, что это мошеннический или фишинговый сайт? Это может быть весьма непросто, нужно попробовать поискать информацию об этом магазине в интернете, возможные отзывы (которым на 100% тоже не следует доверять), порыться наконец на самом сайте, посмотреть, как он устроен, как настоящий или так себе. И только после этого со всеми предосторожностями приступать к оформлению заказа. Любителям совершать покупки на малоизвестных сайтах (к их числу я не отношусь и делаю это крайне-крайне редко) могу посоветовать ещё оформить виртуальную карту (чтоб не "светить" данные основной), можно и одноразовую, если такая возможность есть в их банке. Моё мнение, что антивирус в случае с малоизвестными сайтами не очень поможет, ибо их вельми много. И тем паче со всякими иностранными (также малоизвестными). Всех их в базу не внести. Но антивирус, разработав данный антифишинговый механизм, может также объявить о сотрудничестве, в рамках которого интернет-магазины, заинтересованные в том, чтобы их клиенты не попадали на какие-то левые сайты, могут подать заявку о включении их сайта в базу данных антивируса. Разумеется, бесплатно.
Идея ваша, повторюсь, интересна, @admin, я не знаю вообще, внедрён ли в антивирус какой-либо механизм выявления именно фишинговых (не просто мошеннических) сайтов. Если нет, то его, полагаю, стоило бы разработать. Не думаю, что это было бы технически сложно, для этой цели можно было бы адаптировать уже существующие технологии поиска, больше времени, думаю, займёт наполнение базы данных сайтов, но тоже не слишком много. Но реализация этой задумки добавит антивирусу Dr.Web зело много плюсов при наличии соответствующей рекламы данного компонента.
yusufenko
23:22:18 2020-05-26
dyadya_Sasha
22:03:30 2020-05-26
Геральт
21:11:38 2020-05-26
L1t1um
20:27:42 2020-05-26
Шалтай Александр Болтай
20:09:17 2020-05-26
Татьяна
19:58:22 2020-05-26
Денисенко Павел Андреевич
19:40:09 2020-05-26
tigra
19:22:43 2020-05-26
Slava90
18:55:51 2020-05-26
Toma
17:59:25 2020-05-26
Serg07
15:54:48 2020-05-26
Masha
15:17:12 2020-05-26
ka_s
14:38:50 2020-05-26
DrKV
14:37:59 2020-05-26
Korney
14:28:43 2020-05-26
Zserg
12:53:21 2020-05-26
Lenba
12:50:53 2020-05-26
runikot
12:34:55 2020-05-26
Sasha50
11:55:00 2020-05-26
vinnetou
11:37:37 2020-05-26
maestro431
11:13:58 2020-05-26
Dmur
10:28:11 2020-05-26
Alexander
10:23:30 2020-05-26
Пребывание в Интернете в поиске своего интереса, в страстных блужданиях, с торопливостью и азартом охотника за желаемым, стоит не забывать включать периодически осторожность и внимательность. Проверить и перепроверить сайт, предлагающий услугу, его адрес, "рожу, и одёжу"...
Совсем не сложно сделать первичную проверку. Например, "перекрёстный допрос" нескольких поисковиков, найти отзывы, сравнить адреса, перейти по ссылке на солидных проверенных сайтах, которым доверяешь.
P.S. Многое может Dr.Web. И коня (трояна) на скаку остановит, и в горящую (завирусованную) избу войдёт... Честь Ему и хвала! Но даже Он не в силах всегда предотвращать последствия невнимательности, глупости и поспешности наших поступков в определённые периоды жизни.
TV
09:38:39 2020-05-26
orw_mikle
09:05:32 2020-05-26
admin_29
08:58:06 2020-05-26
Dvakota
08:37:38 2020-05-26
Неуёмный Обыватель
08:29:57 2020-05-26
Vlad X
08:08:27 2020-05-26
фишинга.Не все продвинутые пользователи и учится особо не
хотят,так что для ловцов улов будет хороший.
Пaвeл
07:28:20 2020-05-26
vkor
07:09:02 2020-05-26
Sergey
07:06:42 2020-05-26
Любитель пляжного футбола
06:49:12 2020-05-26
Sergey
06:29:45 2020-05-26
EvgenyZ
06:01:28 2020-05-26
Xamanaptr
05:29:53 2020-05-26
achemolganskiy
04:55:18 2020-05-26