ФИШИНГ. Искусство обмана

Сегодня обычный по своим меркам будний день. Обеденный перерыв. Проверю электронную почту.

Заходя на свою электронную почту, вы видите, что пришло письмо от «Сбербанка», в котором изложен текст, выдержанный в официальной стилистике:

Уважаемый клиент (либо имя отчество)

по вашему счёту/банковской карте совершена подозрительная активность, необходимо изменить пароль в личном кабинете «Сбербанк Онлайн», так как имеется высокий риск мошеннических операций.

Сверив указанные в письме номера телефонов банка, а также почтовый адрес, в котором естественно будет фигурировать слово «Сбербанк», вы можете не почувствовать подвоха.

Спустя несколько минут вам на телефон звонят с номера «900».

обращаются к Вам по имени отчеству и представляются службой безопасности «Сбербанка» или «Департаментом финансовых операций Сбербанка». Обеспокоенный вашей, потенциально финансовой утратой, голос на том конце провода вам сообщает, что замечена подозрительная активность в вашем профиле, а также что вам было направлено письмо на электронную почту с дальнейшими инструкциями, а именно со ссылкой для изменения пароля от личного кабинета «Сбербанк Онлайн» и восстановления доступа к своему счету и карте.

Что в данной ситуации может насторожить любого типичного пользователя «онлайн банка»?

Официальный электронный адрес банка, звонок с официального номера «900», грамотная речь «сотрудника», с фоном рабочей атмосферы на заднем плане и вроде бы официальный на первый взгляд сайт банка, с его вкладками, разделами, рекламой продукта, логотипом и визуализацией в целом, часто встречающей вас ранее. Сомнений быть не может, совокупность факторов склоняет к тому, что все легитимно.

Далее выбирая привычный способ входа, Вы вводите свой логин и пароль от входа в личный кабинет.

после чего происходит двухфакторная аутентификация и Вам приходит одноразовый пароль в смс, который вы также благополучно в свою очередь вводите. Но дальнейших действий не происходит, далее веб страница сайта обновляется, вы пробуете еще раз ввести логин и пароль, подсознательно размышляя, что возможно ошиблись с одной цифрой при вводе и тут вам сопутствует удача. Вы входите в свой личный кабинет и проверяете баланс карты/счета, смотрите историю операций и не понимаете еще больше: никаких изменений не произошло, баланс не ушел, не знакомых Вам переводов в истории «онлайн банка» нет, тогда что же это было на самом деле?

Ответ очень простой. Он гораздо проще реализации всей этой схемы.

Это был ФИШИНГ.

Вы только что сами скомпрометировали свои данные и попались на удочку фишинговой атаки.

Фишинг - (англ. phishing от fishing «рыбная ловля, выуживание») – это набор методов, используемых злоумышленниками, целью которых является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Фишинг считается одной из разновидности социальной инженерии, о видах которых мы поговорим с вами в других статьях.

Идем дальше. Представим ситуацию, что вам в «директе» одной социальной сети или в личных сообщениях в «Вк» пишет «знакомый», «друг» или «подруга»

в типичной ей манере, возможно даже скидывает смешной «мем» или спрашивает вас о том, как прошла сдача экзамена на водительские права (о чем несомненно вы ранее писали в истории переписки), не много пообщавшись с «подругой», она просит вас проголосовать, в очень важном для нее конкурсе, от вас ничего по сути не требуется, только перейти на сайт и «жмякнуть» кнопку - «проголосовать», на что вы не видя в этом, абсолютно ничего подозрительного, перейдя на вполне обычный сайт с доменом верхнего уровня «ru», возможно даже с названием относящимся к конкурсу, нажимаете проголосовать за свою знакомую.

но для этого, необходимо всего лишь авторизоваться на указанном сайте. Вы жмете войти через «Вк», видите привычное лого сайта, где вводите телефон или email, свой пароль и нажимаете войти

а далее вас снова можно поздравить. Вы именно тот счастливчик, кто второй раз скомпрометировал свои данные и словно голодный тунец в водах Атлантического океана, попались на удочку мошенников.

Способ авторизации – может быть абсолютно любым и не относится только к «Вк», важным остается лишь тот аспект, что по статистике большинство людей имеют один и тот же пароль от всех личных аккаунтов, который знаете вы, возможно ваша собака и теперь мошенник, который сейчас защитил свою дипломную работу на 5+

Компания «Microsoft» провела поиск скомпрометированных учётных данных в своих системах и выяснила, что более чем в 44 млн случаев, пользователи устанавливали один и тот же пароль для многих аккаунтов.

Для получения необходимой информации мошенники идут на разные ухищрения.

Массовые рассылки электронных писем, загрузочные страницы оплаты, рассылка от государственных или банковских учреждений, различные «фейковые» всплывающие окна, создание фишинговых сайтов.

Страница поддельного сайта будет выглядеть как настоящая, и лишь отличаться URL-адресом, на который по опыту, мало кто обращает внимание.

Давайте разбираться как такое возможно.

Очень часто мошенники используют различные «слитые» базы данных, в которых фигурируют не только «фио» человека, но и паспортные данные, включая адрес места регистрации. Именно поэтому, нам может прийти письмо на электронную почту с указанием нашего реального имени или поступить звонок от якобы «представителя банка» или «государственных органов». Но если анализировать наш первый кейс со «Сбербанком», каким образом так произошло, что мы получили письмо с реального адреса банка?

Мошенники используют анонимные «спуфбоксы», ресурсы по подмене «адреса электронной почты», сейчас такие сервисы присутствуют в широком доступе, есть как платные, так и бесплатные электронные площадки, где можно отправить письмо нужного вам содержания, на конкретный почтовый адрес, от лица нужного вам отправителя.

Зачастую мошенники, в том числе используют и невнимательность «жертвы», создавая и указывая в названии адреса электронной почты или названии сайта, схожую букву или цифру.

Приведу рандомный пример:

«https://online.sberblank.ru»

«https://0nline.sberbanc.ru» или «https://official.cberbank.ru».

Как вы видите, используя намеренно дополнительную букву в адресе, неверную букву или указывая вместо буквы «о» цифру «0», можно воссоздать похожий адрес сайта либо адрес электронной почты. Все зависит от фантазии мошенника и вашей невнимательности.

Также бывают случаи, когда в «графе отправителя» фигурирует на первый взгляд нормальное название электронной почты, но перед этим фигурирует слово «From», которое в контексте не будет означать "от" кого пришло письмо, а будет относиться к адресу электронного письма.

Например: from/[email protected].

Но если с подменными электронными письмами все понятно, то как мы можем получить звонок с официального номера «Сбербанка»?

Тут абсолютно все аналогично. Использование SIP-клиентов.

SIP (Session Initiation Protocol, протокол установки соединения) — это протокол, который используется в одном из видов IP-телефонии для передачи мультимедийного трафика по сети.

SIP-приложение позволяет обмениваться голосовыми и видеозвонками, пересылать тексты и видеоизображения откуда угодно, где есть Интернет.

Также в дебрях интернет паутины, можно найти ресурсы, где различные провайдеры предоставляют свой функционал подмены номера, с помощью таких услуг, за скромную оплату, от мошенника требуется лишь ввести номер телефона и подменный номер.

Для того, чтобы обезопасить себя в таком ключе, если присутствует неуверенность в том, что вы действительно разговариваете с человеком, который к примеру, вам представился сотрудником банка, лучше сбросьте звонок и перезвоните сами на официальный номер телефона. Не с присланного вам письма, смс или сайта, самый надежный способ — это взять в руки вашу банковскую карту, на которой в большинстве случаев будет указан номер горячей линии банка.

Кейс 2.

Что со взломом аккаунтов в социальных сетях и для чего мошенники их используют.

С данным фишингом думаю многие сталкивались если не в качестве жертвы, то наверняка в качестве человека, получавшего письмо от друга или подруги с какой-нибудь просьбой, зачастую финансового характера, а спустя какое-то время профиль удалялся или человек писал на своей странице запись о том, что его взломали.

Арендуя доступ на теневых форумах, мошенники используют специальный «фишинговый дашборд».

Целью этого всего является получение доступа к аккаунту, выбирая нужную тематику фишинга, или иными словами схему развода: будь то «голосование», «жалоба» или «доставка». Далее в пару кликов создается фейковая страница сайта, например с голосованием, на которой как раз и будет отражен профиль вашего друга (ссылка на его страницу в «Вк» предварительно будет указана мошенником на фишинговом сайте). Таким же не хитрым способом и создается фейковая страница авторизации, для ввода логина и пароля. Такие профессиональные инструменты для взлома, могут похвастаться большим функционалом фичей, включая в том числе обход «2fa». Каким образом будет реализована отправка сообщения с просьбой о голосовании, уже будет зависеть от смекалки мошенника. Это может быть уже взломанная страница вашего друга в «Вк», его дублирующая страница или сообщение от просто знакомого человека.

Подведем рекомендательный итог:

▸ всегда проверяйте название адреса электронной почты и сайта;

▸ если не уверены в разговоре, сбросьте вызов и перезвоните на проверенный номер.

Соблюдайте азы информационной безопасности:

▸ не храните записанные пароли в кошельке, на карте, в записях телефона;

▸ используйте сложные пароли, состоящие из цифр и букв нижнего и верхнего регистра, а также спецсимволов;

▸ не используйте один пароль от всех учетных записей;

▸ старайтесь по возможности менять пароль хотя бы раз в 90 дней. (лучше-чаще).

Эти простые правила лишь кирпичики созданные на чужих ошибках, из которых можно построить стену, способную обезопасить себя. Но даже монументальную стену, упорно, долго и тяжело, но можно разрушить

Никогда не совершайте слепых переводов на просьбы друзей или знакомых из социальных сетей.

Всегда проверяйте источник этой просьбы, оптимальным решением будет звонок на уже имеющийся у вас, номер телефона этого человека, в том случае, если вы хорошо знаете его голос, также оправданным будет вариант видео верификации, потратив минуту времени на видео звонок в мессенджере, вы действительно убедитесь в легитимности просьбы.

Ошибка может быть фатальна.

Денег вы ещё заработаете, но чувство потерянной справедливости - на них купить не удастся.

Со мной этого не произойдет - именно эту фразу я слышал множество раз, будучи в рядах государственной службы и банковского сектора.

Хороший мошенник - не хуже психолога разбирается в методах психологического манипулирования.

Обмануть могут даже самых подкованных, казалось бы, на первый взгляд людей, знающих про мошенничество не понаслышке. Для "фишера" не имеет значения, будет это сотрудник "anti-fraud" подразделения известного банка или эксперт ЦБ.

И какой бы высокоэффективной не была бы биометрия, насколько бы сложный и длинный пароль вы не придумали, зашифровав его трукриптом на usb флешку с аппаратным шифрованием, самым слабым в этой схеме все равно будет человек, а ключевым в этой цепочке останется - человеческий фактор.

© Игорь Ландшман

✓ Друзья, обязательно пишите отзывы, комментарии, с какими видами мошенничества сталкивались Вы лично или ваши близкие. До какого финала это доходило. Делитесь интересными историями или необычными схемами, с которыми вам удалось столкнуться, чтобы наши читатели могли быть осведомлены в большей мере, различными видами мошенничества и соответственно вооружены. ↓

0
10 комментариев
Написать комментарий...
C C

Пойду-ка на сбере создам поддомен, аахаххаа))

Ответить
Развернуть ветку
Юлия Койфниц
Ответить
Развернуть ветку
Сергей Коновалов
«https://0nline.sberbank.ru» или «https://official.sberbank.ru».

Ваша неправда. Субдомены принадлежат только доменам.
Разве что, online_sberbank.ru
sberblank - тоже хорошо :)

Ответить
Развернуть ветку
Игорь Ландшман
Автор

Про принадлежность совершенно верно! Но речь не про поддомены и уровни. Тогда не будет лишним сказать, что у одного хостинга используются в основном одни и те же днс, соответственно огромное количество сайтов, доменов с одинаковыми днс. Чьи днс того и тапки, как говорится, создавай поддомены, лишь бы душа радовалась. Понятно, что все ловится и удаляется, можно обратиться к регистратору, но на практике примеров целая корзина. Сказать - что такого не было, будет некорректно. Сказать - что невозможно, тем более.
Даже рассказывать про случаи угонов поддоменов через CNAME не вижу смысла, информации полно. В частности с супер известными поддоменами, стоящие выше банков)
Господа, это всего лишь пример, видоизменений в названии сайта, может быть вагон и маленькая тележка.
Тем не менее, спасибо за интерес к информации!)

Ответить
Развернуть ветку
Сергей Коновалов

Не стоит пускатья в иносказания. Берётесь объяснять, объясняйте если есть понимание.

Ответить
Развернуть ветку
SocFishing

в 2х словах. Есть дырявые хостинги, которые позволяют создать сайт на домен ранее привязанный к хостингу. Частный случай из огромного количества всяких махинаций.

Ответить
Развернуть ветку
Сергей Коновалов

Как к таковому фишингу это уже не совсем имеет отношение. Т.е. как отличить, наполнение субдомена реально или поддельно? при том, что имя действительное, просто 'потерянное'.
В таком случае должен спасти tls, т.е. доверенный сертификат на субдомен так просто не выпустить? и родной не стащить..

Ответить
Развернуть ветку
Игорь Ландшман
Автор

В моем повествовании нет умысла угодить абсолютно всем людям и тем кому невозможно угодить (не о вас, надеюсь). Статья не является научным манускриптом, всего лишь описание тех или иных событий и ситуаций, автором.
Даже в статье состоящий всего из двух слов, что "вода-жидкая", обязательно найдется человек, который напишет, что это не верно и нужно было рассмотреть в статье различные состояния воды, например ее замороженное состояние. Автор лжёт, ведь существует лёд.
Вы готовы написать неправда, но не готовы сослаться на конкретный и весомый источник своего выражения, почему так) Подтверждающих кейсов много, о большинстве уже удалённых ресурсов вы вероятнее всего даже и не слышали. Но тем не менее рука поэта не дрогнула написать "неправда". Эпично, очень. В статье не описана теория подкреплённая техническими мануалами, а описана практика и собственный опыт.
Это разные вещи, об этом имеет смысл подумать.
Я был бы готов подискутировать на эту тему, но уверен, что конкретики будет ровно 0, а приводить примеры из гугла умеет любой человек, ввиду чего это не имеет никакого смысла.
Я нисколько не хочу оспорить ваши знания или опыт, но для одного человека будет сладко, для другого солёно и если мы не разбираем это на молекулы, то получается это деструктивный диалог.
p.s. Если вы будите проживать по соседству с Бернерсом-Ли, уточните пожалуйста как там все на самом деле устроено)))
Надеюсь я вас ничем не задел и не обидел, цели такой явно не было, даже хотел на последок не много порадовать шуткой))
Сугубо личная точка зрения и ничего больше

Ответить
Развернуть ветку
Сергей Коновалов
Я был бы готов подискутировать на эту тему, но уверен, что конкретики будет ровно 0

Интересное признание :))

Ответить
Развернуть ветку
Александр Копейкин

Только хотел написать про это же. Что не возможно сделать левый сайт на домене второго уровня.

Ответить
Развернуть ветку
Читать все 10 комментариев
null