Вы используете устаревший браузер!

Страница может отображаться некорректно.

Наследники О. Бендера

Наследники О. Бендера

Другие выпуски этой рубрики (66)
  • добавить в избранное
    Добавить в закладки

Чудо-юдо рыба-«кит»

Прочитали: 21149 Комментариев: 46 Рейтинг: 72

26 мая 2020

Как мы уже неоднократно говорили, кризис, связанный с коронавирусом, вызвал резкий рост фишинга. Количество мошеннических предложений выросло более чем на 100%.

В течение марта 2020 года в базу нерекомендуемых и вредоносных сайтов был добавлен 186 881 интернет-адрес.

Февраль 2020 Март 2020 Динамика
+ 90 385 + 186 881 + 106.76%

Источник

Сайты блокируются, но мошенники неустанно создают новые.

Средний срок жизни фишерских сайтов — пять дней, но его вполне достаточно для мошенничества.

Источник

Кто делает все эти сайты? Вряд ли мы ошибемся, если предположим, что на рынке не наблюдается резкого спроса на разработку подобных ресурсов. Дело в том, что мошенничество, равно как и написание вредоносных программ, автоматизировано.

Процитируем один из наших прошлых выпусков:

Фишинг-кит – набор из нескольких готовых фишинговых сайтов, имитирующих внешний вид и поведение существующих интернет-ресурсов.

Источник

Зачем нужны подобные наборы? Цитата оттуда же:

Проведённая недавно инфильтрация фишинговых сетей показала примечательный факт: большинство фишеров – неопытные веб-хулиганы, простаки, которые

  1. покупают за деньги на фишинговых форумах т.н. фишинг-кит (набор инструментов для фишинга) в виде zip архива,
  2. меняют одну-единственную строчку – подставляют свой адрес эл. почты, и
  3. загружают на веб сайт (который можно купить у провайдера легально или так же как и с китом – купить доступ к чужому).

Источник

Но вот что удивительно: новости связывают фишинг-киты исключительно с даркнетом – могучим и недоступным полиции.

Исследователь Дэвид Монтенегро (David Montenegro) обнаружил на одном из форумов даркнета рекламу нового пакета эксплоитов Disdain. Стоимость лицензии на использование EK составляет 80$ в день, 500$ в неделю и $1400 в месяц. Исследователи отмечают, стоимость нового EK немного ниже конкурентного пакета эксплоитов, предлагаемого за 100$, 600$ и 2,000$ соответственно.

Согласно рекламе Disdain, в EK включен следующий функционал:

  • Ротатор доменов
  • Обмен RSA ключам для эксплоитов
  • Отсутствие возможности отследить сервер управления
  • Геолокация
  • Отслеживание по браузерам и IP
  • Сканер доменов

Самое ценное в EK – это набор эксплоитов, используемых для взлома жертв.

Источник

Но, как хорошо известно, обычный Интернет предоставляет не меньше возможностей злоумышленникам, чем «темный».

#drweb

Вот как выглядит упрощенная схема работы мошенников:

#drweb

Источник

#drweb

Сначала злоумышленник покупает скомпрометированный сервер (или использует хостинг) и загружает комплект фишинга на сервер.

Затем злоумышленник использует спам-сервис для отправки фишинговых писем потенциальным жертвам.

Жертвы попадают в фишинговую ловушку, посещают фишинговые страницы и вводят свои учетные данные.

Набор фишинга обрабатывает учетные данные и отправляет их на внешнюю учетную запись электронной почты.

Наконец, злоумышленник получает доступ к этой учетной записи электронной почты и получает новые учетные данные.

Источник

То есть делается копия какого-то сайта, регистрируется домен, и мошеннический ресурс выкладывается в Интернет.

Интересно, что фишинговые сайты содержат защиту от обнаружения:

Мы нашли много наборов фишинга, разработанных для того, чтобы избежать обнаружения с помощью файлов .htaccess и PHP-скриптов, которые блокируют соединения от компаний, занимающихся разведкой угроз, на основе таких атрибутов, как диапазоны IP-адресов источника, HTTP-реферер или заголовок агента пользователя.

Источник

13% комплектов фишинга содержат методы уклонения от черных списков, которые перенаправляют каждую новую жертву во вновь созданное случайное место.

Источник

И разрабатывают различные фишинговые наборы одни и те же люди – пособники воров.

Мы отслеживали отдельных злоумышленников и обнаружили одного, чей адрес электронной почты был обнаружен в более чем 115 уникальных фишинговых наборах.

Источник

Половина пакетов принадлежит большим семействам комплектов. В то время как треть принадлежат трем большим семействам комплектов. Это означает, что фишинговые комплекты поступают из ограниченного числа источников.

Источник

С другой стороны, злоумышленники ленивы и используют одни и те же клоны сайтов без изменений.

Мы обнаружили несколько наборов, которые были замечены на 30 различных хостах.

Источник

Ну и как всегда: продал набор – укради украденное у покупателя:

Злоумышленники, которые продают или распространяют фишинговые комплекты другим преступникам, замаскируют возможность предоставить себе доступа к взломанным хостам. Ясно, что среди воров нет чести!

Источник

Бесплатные фишинговые наборы часто содержат скрытые механизмы эксфильтрации, которые отправляют введенную информацию третьим лицам, которые, вероятно, являются авторами наборов.

Источник

Кстати, интересно: как к исследователям попадают фишинговые наборы?

После развертывания комплекта злоумышленники часто забывают удалить его, а когда сервер уязвим для обхода каталога, можно найти и загрузить комплект.

Источник

Фишинговые наборы бывают двух типов:

Большинство фишинговых наборов содержат все ресурсы, необходимые для копирования целевого веб-сайта, включая изображения, HTML-страницы и CSS-файлы. Это уменьшает количество запросов, которые выдает набор к целевому сайту, и, следовательно, вероятность обнаружения, если исходный сайт анализирует входящие запросы. Однако мы наблюдали несколько наборов с фишинговыми страницами, содержащими ссылки на оригинальные целевые сайты.

Источник

Первый тип – точная копия определенного сайта на какой-то момент времени. Минус такого подхода заключается в том, что нужно постоянно поддерживать актуальность набора, чтобы он не отличался от текущей версии копируемого ресурса. Второй тип – это как бы дополнительная страничка копируемого сайта. Здесь минус в том, что уйдя с нее по ссылкам сайта, жертва может и не вернуться обратно.

#фишинг #мошенничество #интернет #технологии

Антивирусная правДА! рекомендует

«Средний срок жизни фишерских сайтов — пять дней». Защита должна быть актуальной, не забывайте обновлять свой антивирус, чтобы информация о мошеннических сайтах не оказалась устаревшей.

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей