вторник, 20 апреля 2021 г.

Практический разбор фишинга

 


Предисловие

Фишинг хорошо справляется со своей задачей: ввести пользователя в заблуждение. Работает это, если сделано умело, грамотно и главное - правдоподобно. И все, пользователь попался на крючок, данные у злоумышленника в кармане. НО даже на очевидные, и неправдоподобные обманы люди ведутся, хоть тема давно не новая, и вроде бы, много кто об этом знает.

И пока есть те, кто бездумно попадается на фишинг, он будет существовать и приносить плоды!

Сегодня проведем анализ фишинга на практике, и Вы решите, насколько именно для Вас данный обман был очевиден.

Анализ проведем в 3 этапа:
  • внешний анализ
  • внутренний
  • защита

Исходные данные:

Из недоверенного источника пришла ссылка на сайт:
https[:]//mvideo[.]discount2021[.[store/
При проверке антивирусом меня ждал сюрприз:
 

На этом моменте понимаем, что скорее всего, сайт является фишинговым, ибо url уж больно подозрительный. 

Часть 1. Внешний анализ

По внешнему виду сайта делаем вывод, что это распродажа:

Никакие другие ссылки не работают, при попытке перейти куда-либо с сайта приходит такое уведомление:

Смотрим дальше: углубившись в сайт, находим форму заказа и заполняем ее:

И на этом моменте мы, высказав форме заказа негодование по поводу столь наглого обмана, нажимаем кнопку оформления заказа. Запрос перенаправляется на адрес:

https[:]//ezthsahui[.]buzz/payform/54z2z2/a403/84y203/
Там необходимо заполнить данные ФИО. А затем выскочит окно, с запросом номера карты, но уже на другом ресурсе:
https[:]//azgddedtg[.]buzz/payform/index.php

Сайт точно фишинговый, попробуем отыскать концы.

Часть 2. Глубокий анализ

Если углубиться в анализ, то первая ссылка ведет на адрес 162.0.235.3, который используется для хостинга всякого г*на (https://urlscan.io/ip/162.0.235.3), как правило, фишингового. К примеру:

При этом основная цель злоумышленников – получить халявный https сертификат:

https://crt.sh/?CN=mvideo.discount2021.store&match==

Ссылки же, используемые для кражи данных, ведут уже на российские ресурсы:

Похожих ресурсов также много, все в доменной зоне buzz:

Первая ссылка на скрине выше подписана сертификатом от Lets Encrypt

 

В целом имеем картину классического фишинга, с оплатой на других ресурсах. Цель – собрать денег с доверчивых посетителей.

Часть 3. Усиливаем защиту

Усиление защиты сильно зависит от имеющихся под рукой СЗИ. С учетом того, что на момент написания статьи, ссылка не была добавлена в Black list ресурсов Интернет, то возможны следующие варианты:

Через файл hosts

Для этого нам понадобятся ip адреса, которые мы нашли ранее. Пример:

127.0.0.1 92.63.199.88
127.0.0.1 162.0.235.3

Или так :

127.0.0.1 mvideo.discount2021.store
127.0.0.1 ezthsahui.buzz
127.0.0.1 azgddedtg.buzz

Блокировкой URL

Способ первый. Если у Вас есть роутер, то в нем может быть функция блокировки URL. Например, такая настройка:


Способ второй. При наличии браузерного плагина Ublock можно добавить URL в фильтр:

Теперь при обращении к заблокированным ресурсам будет отображаться следующая страница:

Тут следует иметь ввиду, что пользователь может отключить такую блокировку. 

Отчеты urlscan:

Ссылка

Отчет

https://mvideo.discount2021.store/

https://urlscan.io/result/9c8695f6-f4ae-4c55-9786-1618218382b8/

https://ezthsahui.buzz/payform/54z2z2/a403/84y203/

 

https://urlscan.io/result/baa660bb-976c-4d5b-9a94-67275031f00e/

https://azgddedtg.buzz/payform/index.php

 

https://urlscan.io/result/6fc6db8e-f5e6-47ef-b1ee-89c97e1626b9/



Автор: Владимир Душкевич, специалист по защите информации


Наши страницы:

Telegram t.me/shartrez
Вконтакте https://vk.com/shartrezco
Faceboock https://www.facebook.com/ShartrezCo


Комментариев нет:

Отправить комментарий