Предисловие
Фишинг хорошо справляется со своей задачей: ввести пользователя в заблуждение. Работает это, если сделано умело, грамотно и главное - правдоподобно. И все, пользователь попался на крючок, данные у злоумышленника в кармане. НО даже на очевидные, и неправдоподобные обманы люди ведутся, хоть тема давно не новая, и вроде бы, много кто об этом знает.
И пока есть те, кто бездумно попадается на фишинг, он будет существовать и приносить плоды!
Сегодня проведем анализ фишинга на практике, и Вы решите, насколько именно для Вас данный обман был очевиден.
- внешний анализ
- внутренний
- защита
Исходные данные:
https[:]//mvideo[.]discount2021[.[store/
На этом моменте понимаем, что скорее всего, сайт является фишинговым, ибо url уж больно подозрительный.
Часть 1. Внешний анализ
По внешнему виду сайта делаем вывод, что это распродажа:
Никакие другие ссылки не работают, при попытке перейти куда-либо с сайта приходит такое уведомление:
Смотрим дальше: углубившись в сайт, находим форму заказа и заполняем ее:
И на этом моменте мы, высказав форме заказа негодование по поводу столь наглого обмана, нажимаем кнопку оформления заказа. Запрос перенаправляется на адрес:
https[:]//ezthsahui[.]buzz/payform/54z2z2/a403/84y203/
https[:]//azgddedtg[.]buzz/payform/index.php
Сайт точно фишинговый, попробуем отыскать концы.
Часть 2. Глубокий анализ
Если углубиться в анализ, то первая ссылка ведет на адрес 162.0.235.3, который используется для хостинга всякого г*на (https://urlscan.io/ip/162.0.235.3), как правило, фишингового. К примеру:
При этом основная цель злоумышленников – получить халявный https сертификат:
https://crt.sh/?CN=mvideo.discount2021.store&match==
Ссылки же, используемые для кражи данных, ведут уже на российские ресурсы:
Похожих ресурсов также много, все в доменной зоне buzz:
Первая ссылка на скрине выше подписана сертификатом от Lets Encrypt
В целом имеем картину классического фишинга, с оплатой на других ресурсах. Цель – собрать денег с доверчивых посетителей.
Часть 3. Усиливаем защиту
Усиление защиты сильно зависит от имеющихся под рукой СЗИ. С учетом того, что на момент написания статьи, ссылка не была добавлена в Black list ресурсов Интернет, то возможны следующие варианты:
Через файл hosts
Для этого нам понадобятся ip адреса, которые мы нашли ранее. Пример:
127.0.0.1 92.63.199.88127.0.0.1 162.0.235.3
Или так :
127.0.0.1 mvideo.discount2021.store127.0.0.1 ezthsahui.buzz127.0.0.1 azgddedtg.buzz
Блокировкой URL
Способ первый. Если у Вас есть роутер, то в нем может быть функция блокировки URL. Например, такая настройка:
Способ второй. При наличии браузерного плагина Ublock можно добавить URL в фильтр:
Теперь при обращении к заблокированным ресурсам будет отображаться следующая страница:
Тут следует иметь ввиду, что пользователь может отключить такую блокировку.
Отчеты urlscan:
|
Ссылка |
Отчет |
|
https://mvideo.discount2021.store/ |
https://urlscan.io/result/9c8695f6-f4ae-4c55-9786-1618218382b8/ |
|
https://ezthsahui.buzz/payform/54z2z2/a403/84y203/ |
https://urlscan.io/result/baa660bb-976c-4d5b-9a94-67275031f00e/ |
|
https://azgddedtg.buzz/payform/index.php |
https://urlscan.io/result/6fc6db8e-f5e6-47ef-b1ee-89c97e1626b9/ |
Автор: Владимир Душкевич, специалист по защите информации
Telegram t.me/shartrez
Вконтакте https://vk.com/shartrezco
Faceboock https://www.facebook.com/ShartrezCo
Комментариев нет:
Отправить комментарий