понедельник, 17 октября 2016 г.

фишинг, но не фишинг

привет ребята.
решил рассказать кое-какую историйку про фишинговые сайты.
чего про них можно нового рассказать в двадцать первом веке?
во всех книжках по безопасности про это написано, во всех отчетах илитных аналитиков встречается словечки фишинг, фишинг, блабла.
все уже небось привыкшие к тому, что мошенники делают копии известных сайтов, чтобы облапошить публику и чего-нибудь с них получить.
что обычно можно получить с этой публики, и в чем выгода?
ну в зависимости от сайта, который подделывается, всякое.
если например подделывается банковский сайт, то там можно учетки для дбо собрать, а можно и сами ключи (видел такое лично). но работает это обычно считанные часы, а потом все вскрывается, хостеры все прикрывают, браузеры блэклистят и тд. ну срубят жулики там по 5 тыщ со ста клиентов.
если какие-нибудь одноклассники, там вообще обычные учетки пользовательские. спам рассылать, втираться в доверие, еще всякая мелочевка. гемор один.
корпоративные сайты - учетки рабочие соберешь, шарься потом всяко, пока не просекли, ищи как бы монетизировать. короче муть.
а есть такие жулики, которые с предпринимательскими нотками в крови. они если делают фишинговые сайты, так с размахом.
вот история про них.

где-то год назад сижу ковыряюсь в почте. от коллег вижу письмецо, что мол у некого нашего клиента из ТЭК (ну к примеру нефтянка пусть будет) сектора проблемки с поддельными сайтами. стал любопытничать, оказалось, что делают под них копию сайта, с похожим доменом, на один символ различается, все скопировано норм и точь-в-точь, кроме контактной инфы - телефон/почта другие.
и сайт за клаудфларом, то есть считается, что где реально хостится, нельзя узнать.

но на тот момент у клаудфлара была мутка, то ли баг, то ли фича (но щас прикрыли), что можно было палить реальные адреса за ним. если под пользователем клаудфлары добавляешь сайт, который уже и так за ним, то он тебе показывал что "такой сайт уже есть, ты чо мол забыл, вот же айпи". ну я конечно воспользовался, грех не воспользоваться. нашел какой-то эстонский хостинг, скананул нмапом, там конечно обнаружилась популярная панель управления, куча висящих портов, типа почтовых сервисов и тд - ну то есть типичный хост "из коробки".  сначала я по привычке подумал, что чето мутится малварное, к примеру рассылки с нагоном трафика на сайт и какие-то злодеяния фишинговые.
стал еще гуглить по контактам, что были указаны, и нашел еще один сайт из той же отрасли, а потом еще сайт, но уже металлургия, а потом еще - и там газ, и понеслась: химпром, ювелирка, сырьевые компании, заводы, пароходы, штук 40 сайтов сходу нашел - для всех них были созданы копии сайтов, которые различались в одну букву, дефис, или зоной от оригинала. и на всех были указаны те же контакты, все сайты были за клаудфларами, а реально хостились на разных хостингах в эстонии и подобных странах, и все с той же админкой под копирку.
а тогда же санции как раз были в разгаре, ну я после такого конечно подумал, чо мол за дела, какой-то мериканьский апт против российской промышленности, чтоли, во думаю, дела...

стал еще копаться, у некоторых из пострадавших сайтов в новостях были предупреждения, что мол орудуют мошенники. если я правильно запомнил, то может даже в некоторых случаях жулики сайты скопировали вместе с этими новостями. хотя в большинстве все подобное было аккуратно вырезано. интерактив со страниц тоже был убран, остались просто качественные статичные страницы.
ну и по новостям и совокупности факторов я стал примерно понимать технологию.
суть в чем:
  1. берется контора, которая продает товар, который например не как в киоске жвачку купить, а тоннами отгружается - леса, руду, уголь или то, что само по себе дорого стоит - ювелирка, машиностроение. 
  2. делается фейковый сайт со своими контаками. 
  3. потом по неопределенному кругу лиц начинается обзвон с предложением купить золото нефть дешево. если там чуваки начинают колебаться, то им сообщают адрес сайта, где они могут проверить информацию, тот же номер телефона например или почту - все без обмана. ну и там видимо дальше предполагалось внести предоплату и тд. к примеру за сто тыщ тонн нефти. пусть к примеру 10 миллионов надо внести (эти все цифры я конечно придумал, потому что я же не жулик, но для иллюстрации мутки сойдет). 
  4. дальше простачки засылают предоплату и все, денежки тю-тю, профит.

и при всем при этом сайт висит и его родная мама почти не отличит от настоящего.
кто ваще знает, какой настоящий сайт у беломорбалтуглепрома? никто ваще никогда не знает такой инфы и даже не задумывается, в каком месте в этом урле должен быть дефис или какая зона у сайта - ком или ру.
гугл вам не поможет, потому что он уже проиндексировал фейковый сайт тоже и он в поиске выплывет где-то недалеко
репортить в сэйфбраузинги тоже не катит - сайт то выглядит как настоящий, учетки не собирает, малварь не распространяет.
регистраторам тоже жаловаться фиг - всякие похожие домены регать не запрещено, их все подряд регают, чего тока не придумают пиарщики в маркетинговых нуждах - и все зоны, и опечатки, и наименования разные и тд. разделегируешь домен, а потом выяснится, что он нужен был для раскрутки в поиске или как лендинг страница, и тебе же еще и попадет.
поэтому висят сайты, скока хочешь, это вам не банковские сайты фишить и не одноклассники.

видите, ребята, в чем мораль?
мошенничество с использованием ИТ? да.
усилия тратятся те же? да.
затраты на инфраструктуру, на копирование сайта, подделку и тд - то же как на одноклассников, а пользы на порядок больше, чем от этих ваших одноклассников.
и при этом про одноклассников вам скажет любой школьник-безопасник, что мол как это опасно, страшные чудовищные фишеры, мир опасносте, а против таких жуликов никакие бест практицес по ИБ ничего  не предлагают, их как будто нет, и модные аналитики/аудиторы в своих отчетах не упомянут и советик не дадут.
так и живем).
удачки, до новых встреч.