Антивирусная правДА!TM

11 мая 2023

В материалах «Антивирусной правды» мы часто уделяем внимание сетевому мошенничеству и рассказываем об уловках, к которым прибегают киберпреступники для обмана пользователей. Фишинг является одним из самых распространенных видов интернет-мошенничества, который основывается на методах социальной инженерии. Например, в этом выпуске мы писали об очередной схеме с фальшивым маркетплейсом и раскрыли, как происходил поэтапный обман пользователя.

Почему для своего обогащения злоумышленники часто используют именно фишинг? Это объясняется выгодным для них соотношением затраченных усилий и полученной в итоге прибыли. Как правило, никакие сложные технические решения не задействуются, а жертвы сами отдают свои деньги и/или информацию в руки обманщиков. Для этого используются различные, но зачастую нехитрые уловки, которые работают благодаря доверчивости и неосведомленности пользователей. Кроме того, развитие цифровой среды и появление новых каналов коммуникации обеспечивают сетевых мошенников дополнительными инструментами и возможностями.

Неотъемлемой частью классического фишинга является поддельный сайт. Это созданный злоумышленниками и полностью подконтрольный им сайт, либо напрямую предназначенный для кражи данных и денег, либо работающий как промежуточное звено в более сложных обманных схемах. В этом выпуске проекта «Антивирусная правДА!» мы расскажем о том, как самостоятельно определить, что перед вами фишинговый сайт, чтобы не попасться на удочку мошенников.

Как вы попали на сайт?

Для первичного «заброса наживки» злоумышленники активно используют различные каналы коммуникации. Почтовые рассылки, SMS, мессенджеры, социальные сети, рекламные баннеры и даже платное продвижение сайтов в поисковиках — весь этот инструментарий доступен мошенникам для распространения ссылок на свои фишинговые ресурсы. Приведем самый простой пример: с незнакомого номера вам пришло SMS с заманчивым предложением дополнительного заработка и ссылкой на сайт. Каким бы убедительным ни был текст сообщения, с 99.99% долей вероятности ссылка приведет вас на фишинговый ресурс. Все данные, которые вы будете вводить там, будь то личная информация или номера карт, окажутся в руках злоумышленников. Таким образом, важно уметь определять обман на самом первом этапе, для чего достаточно придерживаться несложного правила: все ссылки, полученные от незнакомых адресатов, следует воспринимать как подозрительные.

Чаще всего мошенники заманивают потенциальных жертв соблазнительными предложениями о работе, рекламой торговых площадок с низкими ценами, обещаниями социальных или иных выплат, якобы полагающихся пользователю, и другими подобными уловками. Раньше были популярны банальные всплывающие баннеры с сообщениями о денежном выигрыше. Впрочем, даже такие, казалось бы, устаревшие трюки до сих используются на просторах сети и, как ни странно, приносят свои плоды.

Отдельно отметим, что современные браузеры в ряде случаев предотвращают переход на фишинговые ресурсы, однако такая защита работает далеко не всегда. Как правило, браузер запрещает посещение сайта без имеющегося на нем цифрового сертификата для установки защищенного соединения, либо если такой сертификат недействителен. Но следует помнить, что злоумышленники легко обходят такие меры безопасности и чаще всего устанавливают на свои сайты бесплатные, но действительные сертификаты безопасности. Поэтому самой надежной защитой будет критическое мышление и самостоятельный анализ того, что привело вас на незнакомый сайт.

Разумеется, ссылку на фишинговый ресурс вам могут прислать не только неизвестные адресаты, но и знакомые люди. Поэтому давайте рассмотрим другие признаки.

Оцениваем внешний вид и функциональность сайта

Фишинговые сайты условно можно разделить на две большие категории: подделки, которые мимикрируют под ресурсы известных компаний и копируют их дизайн, и сайты, которые, соответственно, не копируют оригинал, имеют свой уникальный внешний вид, но в любом случае имитируют легитимные сервисы. К первой категории можно, например, отнести поддельную страницу авторизации сервиса Госуслуги, а ко второй — фишинговый сайт какой-нибудь новой платежной системы, которой на самом деле не существует. Также часто встречаются гибриды, когда на фишинговом сайте размещаются логотипы и элементы корпоративного дизайна какой-нибудь известной компании, но в целом веб-страницы полностью не копируют внешний вид настоящего сайта. Это может быть, например, якобы сторонний сайт известной фирмы, где среди посетителей проводят розыгрыши. На деле же во всех случаях вышеперечисленные сайты являются фишинговыми, находятся под полным контролем злоумышленников и не имеют никакого отношения к компаниям, чьи логотипы там могут быть использованы. Следует помнить, что основная задача мошенников — втереться в доверие к пользователю. Именно поэтому чаще всего фишинговые ресурсы маскируются под страницы известных сайтов и сервисов.

При этом практически все поддельные сайты объединяет общая черта — при внимательном рассмотрении можно увидеть, что они сделаны, как говорится, «на коленке». Орфографические ошибки, некачественная верстка, неработающие кнопки и другие элементы — все это часто встречается на фишинговых сайтах. Злоумышленникам важно пустить пыль в глаза, а для этого они используют заманчивые предложения, броские заголовки, известные логотипы, фейковые отзывы и другие приемы. При таком подходе качественная реализация отходит на второй план — ведь запустить мошеннический ресурс нужно как можно скорее. И в нашем случае это именно то, на что нужно обращать пристальное внимание. Чаще всего на фишинговом сайте реализуется только та функциональность, которая нужна для работы обманной схемы. При этом, если отойти от сценария злоумышленников и начать просто изучать сайт, то, скорее всего, вы быстро обнаружите недоработки. И чем сложнее сайт, тем больше ошибок он будет содержать.

Смотрим на доменное имя сайта

Доменное имя сайта, который отображается в адресной строке браузера, может сказать очень многое. Поскольку зарегистрировать сайт с именем, идентичным настоящему, технически невозможно, при создании поддельного ресурса злоумышленники стараются подобрать домен таким образом, чтобы он был максимально похож на настоящий. Например, доменное имя фишингового сайта, имитирующего сайт «Доктор Веб», могло бы быть таким: drveb.ru или doctorweb.ru. Излюбленный прием: замена определенных букв или цифр на визуально похожие или добавление произвольных цифр в имя сайта. В статье про фальшивый маркетплейс мы рассказывали, как мошенники для поддельного интернет-магазина известного бренда Shein выбрали домен sheim668. Это очень топорная маскировка, однако жертвы злоумышленников не обратили на это внимание и в итоге попались на удочку. В любом случае при появлении малейших сомнений в безопасности того или иного сайта следует внимательно проверять его доменное имя.

При этом злоумышленники могут подделать только так называемый домен второго уровня, проще говоря — основное доменное имя сайта. В системе доменных имен встречаются сайты с несколькими словами, разделенными точкой. Например, вымышленный сайт shop.drweb.ru, где «drweb» — домен второго уровня, а «shop» — домен третьего уровня, не может быть зарегистрирован сторонними лицами. А вот shop.drveb.ru — уже будет являться подделкой.

Изучаем цифровой сертификат сайта

Про цифровые сертификаты мы рассказывали в этом выпуске «Антивирусной правды». Как уже говорилось выше, злоумышленники активно используют бесплатные цифровые сертификаты, чтобы обойти встроенную в браузеры защиту и проверку подлинности. Поэтому нет ничего удивительного, что соединение с фишинговым сайтом осуществляется по защищенному протоколу HTTPS. И здесь необходимо отметить важный нюанс.

Самым распространенным центром сертификации, который выдает бесплатные цифровые сертификаты, является Let's Encrypt. С его помощью добросовестные создатели своих личных сайтов могут получить и установить сертификат, что повышает доверие к ресурсу со стороны посетителей, браузеров и поисковиков и позволяет обмениваться информацией по защищенному каналу. Но всеми этими благами могут беспрепятственно пользоваться и злоумышленники. Сертификаты, выпущенные центром Let's Encrypt, устанавливаются на бесчисленное количество фишинговых сайтов. И при этом они практически никогда не устанавливаются на официальные сайты крупных коммерческих предприятий, под которые маскируются поделки мошенников. Таким образом, если на сайте крупного интернет-магазина или банка установлен сертификат центра Let's Encrypt, это серьезный повод принять такой сайт за фишинговый. Хорошая новость состоит в том, что сведения о сертификате нетрудно проверить самостоятельно.

Например, в браузере Chrome это делается следующим образом. В адресной строке нажмите на иконку замка слева от имени сайта. В появившемся окне выберите Безопасное подключение, а затем Действительный сертификат. Откроется новое окно с информацией о сертификате. Нас интересует раздел Кем выдан. Если в строке Общее имя (CN) вы видите R3, а в строке Организация (O) — Let's Encrypt, это значит, что на данном сайте используется цифровой сертификат от Let's Encrypt.

В самом сертификате от Let's Encrypt нет ничего плохого или вредоносного. Основная идея заключается в том, что коммерческие компании в настоящий момент используют платные цифровые сертификаты. Например, на сайте «Доктор Веб» используется сертификат от GlobalSign. Разумеется, в большинстве случаев злоумышленники не будут получать платный сертификат для фишингового сайта, который вряд ли просуществует дольше нескольких недель.

Ищем данные о компании

Чтобы определить фишинговый сайт, иногда бывает полезно изучить не только его внешний вид и функциональность, но и сам контент. Многое может сказать раздел с контактами. Часто бывает, что фишинговый сайт вообще не содержит раздела с обратной связью и данными о компании. И это тоже повод задуматься о легитимности такого сайта. Также злоумышленники могут подставить абсолютно любые, в том числе украденные данные, такие как название юридического лица, ИНН, телефон и юридический адрес. В случае сомнений следует отдельно проверить эти данные в интернете. Если ресурс фишинговый, то велика вероятность, что по указанным контактам найдутся сведения о фирме, не имеющей никакого отношения к тому, что показывают вам мошенники. Если же поиск вообще не приносит никаких результатов, значит, на сайте указаны заведомо некорректные данные, что также говорит о подделке.

Другое дело, если фишинговый сайт полностью копирует оригинал. В этом случае контакты и другие данные, скорее всего, тоже будут скопированы. Тогда на помощь придут другие признаки, о которых мы рассказали выше.

Пользуемся специальными сервисами

При проверке сайта не лишним будет воспользоваться специальными сервисами, которые помогают выявлять мошеннические ресурсы. Давайте познакомимся с ними.

Whois

Whois — протокол, по которому работает сервис, позволяющий любому желающему получить открытые сведения о регистрационных данных по доменным именам и IP-адресам. Whois не является специальным сервисом для определения фишинговых сайтов, однако предоставляет данные, на основе которых можно выявить мошеннический ресурс. Для проверки достаточно скопировать имя проверяемого сайта и вставить его в веб-форму сервиса Whois. В результате будет выведен блок данных, в котором самыми показательными строками будут Владелец и Создан.

Приведем простой пример. Предположим, что при проверке сайта якобы крупной компании с помощью сервиса Whois вы увидели, что владельцем домена является частное лицо (Private Person), а сам сайт создан пару недель назад. Из этого можно сделать однозначный вывод, что сайт не имеет никакого отношения к настоящей компании и, скорее всего, является фишинговым. Дело в том, что сайты крупных компаний практически никогда не регистрируются на частных лиц, а недавняя регистрация домена вкупе с остальными признаками также косвенно говорит нам о том, что сайт является фальшивкой.

Однако следует помнить, что фишинговый сайт может быть зарегистрирован на подставную фирму, а не на частное лицо. В этом случае можно косвенно ориентироваться на дату создания домена, но лучше и безопаснее проверить сайт с помощью специальных сервисов.

Проверка ссылки с помощью онлайн-сервисов

Подозрительную ссылку легко проверить с помощью специальных онлайн-сервисов. Например, на сайте «Доктор Веб» есть сервис, позволяющий проверить ссылку по внутренней базе компании, которая ежедневно пополняется вирусными и интернет-аналитиками.

Существуют и другие подобные сервисы — например, VirusTotal и Phishtank. Работают они по такому же принципу — URL проверяемого сайта вставляется в специальную форму, после чего выполняется поиск по базам фишинговых сайтов.

При всем удобстве этих сервисов нужно понимать, что результат проверки может быть как ложноположительным, так и ложноотрицательным. Например, фишинговый сайт может быть банально не внесен в базу данных и вследствие этого определяться как безопасный. Или, напротив, «чистый» сайт может быть ошибочно внесен в базу. Поэтому важно принимать во внимание все факторы, чтобы не попасться в сети мошенников.