Главная » Приколы » Опасная сделка

Опасная сделка

В том числе и для злоумышленников, которые весьма оперативно отслеживают все новшества. Новый сервис – это новые возможности.

Техническим партнером банка выступила компания SafeCrow, не первый год специализирующаяся на оказании подобных услуг. Вот, например, 6 мая Сбербанк запустил сервис «Безопасная сделка», предназначенный для обеспечения гарантии оплаты сделки ее участниками и защиты их прав.

На сайте банка была создана соответствующая страница, личный кабинет сервиса располагается на отдельном домене - sb-sdelka.ru.

Давайте сравним их. А ровно неделю спустя, 13 мая, в сети появился ресурс sberbank- service.******, мимикрирующий под вышеупомянутый сервис.

Вот так выглядит страница сервиса на сайте Сбербанка.

Опасная сделка Информационная безопасность, Фишинг, Банк, Длиннопост

А вот так – на сайте злоумышленников.

Опасная сделка Информационная безопасность, Фишинг, Банк, Длиннопост

Но если на сайте банка эта кнопка приводит нас в личный кабинет, в котором нам предлагают авторизоваться, используя номер телефона и код из СМС. Ключевым элементом обеих страниц является кнопка «Создать сделку».

Опасная сделка Информационная безопасность, Фишинг, Банк, Длиннопост

То вредоносный ресурс без всяких пояснений просто предлагает ввести пароль.

Опасная сделка Информационная безопасность, Фишинг, Банк, Длиннопост

Что ж, стоит познакомиться с этим сайтом поближе.

При этом идентификатор страны в Whois указывает на Россию, а в поле регион значится RU-NVS, что судя по всему означает Новосибирск. Если оригинальный домен, используемый сервисом Сбербанка, был зарегистрирован компанией «SafeCrow» через RU-CENTER, то регистратором доменного имени SBERBANK-SERVICE.***** выступила американская компания «Network Solutions». В привязке к домену фигурирует почтовый адрес: sb.service.help@gmail.com.

И не только хостится, ведь Wix – это прежде всего онлайн конструктор сайтов. Хостится сайт на платформе Wix. Похоже, что злоумышленники не стали заморачиваться и быстренько сколотили фишинговый сайт прямо в онлайн-билдере. Заглядываем в код страницы и сразу же видим: <meta name="generator" content="W*x.com Website Builder"/>.

За последние несколько месяцев большая часть сайтов, предназначенных для обмана клиентов Сбербанка, или была сделана на чистом HTML с вкраплениями Java-скриптов, или использовала какие-то самописные движки. Это, кстати, отличает его от других подобных ресурсов. А тут даже картинки хостятся на https://static.w*xstatic.com/media.

Сайт имеет валидный SSL-сертификат, так что Google Chrome заботливо сообщает, что ресурсу можно доверить все самое сокровенное.

Опасная сделка Информационная безопасность, Фишинг, Банк, Длиннопост

Сплошной мусор и Java-скрипты, доставшиеся от Wix. Анализ кода страницы не приносит особых результатов. Изучать целевую аудиторию хотят все. На сайте присутствует тег google-site-verification и скрипт Google Analytics, что, впрочем, уже давно не редкость даже для фишинговых ресурсов.

Изменениям подверглось и верхнее меню. Верхняя область сайта и футер более-менее точно скопированы с сайта банка, однако, фишинговый ресурс потерял возможность полноценного масштабирования и утратил оригинальные шрифты. В разделе «Лицензия» размещена таблица с реквизитами Сбербанка и ссылка на pdf-файл со сканом генеральной лицензии ЦБ, который лежит на docs.w*xstatic.com. Часть ссылок в нем введет на сайт Сбербанка, но количество и наименование кнопок отличается от оригинального, а кнопки «Главная», «Лицензия» и «Сделка» ссылаются на элементы фишингового ресурса. Картинка на главной странице взята с фотостока Istock.

Вывод.

Форма ввода пароля, отсутствие логина и регистрации позволяют предположить, что жертва, попавшая на сайт, уже будет иметь готовый пароль, переданный злоумышленниками, то есть без социальной инженерии здесь явно не обойдется. В своем нынешнем виде сайт может использоваться в качестве одного из элементов криминальной схемы.

Несмотря на то, что на данный момент не представляется возможным изучить все детали мошеннической схемы, сайт уже сейчас может представлять угрозу, ведь он явно предназначен для введения в заблуждение клиентов банка.

Мы проинформировали ПАО «Сбербанк» и компанию «Сэйфкроу» о выявленной угрозе и надеемся, что фишинговый ресурс прекратит свое существование еще до появления первых жертв.





Оставить комментарий

Ваш email нигде не будет показанОбязательные для заполнения поля помечены *

*