Искусство маскировки. Как мошенники прячут свои сайты в интернете

fan7777

Местный
ЗАБАНЕН
Регистрация
27/9/20
Сообщения
997
Репутация
946
Реакции
3.460
RUB
0
Если вы планируете сделку с его участием, мы настоятельно рекомендуем вам не совершать ее до окончания блокировки. Если пользователь уже обманул вас каким-либо образом, пожалуйста, пишите в арбитраж, чтобы мы могли решить проблему как можно скорее.
55f6e7c66d1f0c779fd2f.png


Анализируя мошеннические сайты, порой диву даешься изобретательности жуликов. То пиццу тебе предлагают бесплатную, то моргенкоины… Встречаются и ресурсы, о которых с ходу и не скажешь, что они мошеннические: эти сайты просто собирают контакты, чтобы потом, сформировав базу, сразу всех развести. Однако прежде чем хорошенько изучить созданный интернет‑жуликами сайт, сначала надо его найти. О методах поиска и о том, как мошенники прячут свои ресурсы в сети, мы сейчас и поговорим.

Бывает, в компанию или службу банка, занимающуюся интернет‑безопасностью, поступает жалоба на тот или иной сайт, что и становится поводом к расследованию. Этот случай мы рассматривать не будем, а допустим, что ИБ‑шник захотел получить премию сам решил найти вредоносные сайты.

Самый простой способ включает следующие нехитрые действия:

  • скачиваем список зарегистрированных за последние несколько месяцев доменов в зоне .ru c сайта (в списке перечислены домены, зарегистрированные за последние три месяца);
  • ищем домены, похожие на официальные домены крупных компаний и банков;
  • заходим на сайт и смотрим, что же там находится;
  • если обнаружен мошеннический ресурс, подаем заявку на блокировку домена регистратору, жалуемся хостеру или настраиваем межсетевой экран для блокировки подобных ресурсов в собственном периметре.
Более продвинутый вариант — использовать самодельные или покупные сканеры, которые будут бороздить просторы интернета в автоматическом режиме. Вроде все просто, однако описанный метод срабатывает далеко не всегда. Почему же найти мошеннический сайт порой бывает нелегко? Причин обычно несколько.

ПОХОЖЕЕ НАПИСАНИЕ​

Если, например, из списка всех доменов отобрать домены со словом gaz, то домен gaazprom.ru ты уже не обнаружишь, а вот утилита Dnstwist из Kali поможет его найти. Еще можно использовать онлайн‑сервисы или .

Dnstwist генерирует шесть разных типов написания основного домена и проверяет, какие из них зарегистрированы. Например, для официального gazprom.ru было сгенерировано и проверено 2270 вариантов. 38 доменов оказались зарегистрированы.

1.png

Результаты проверки домена gazprom.ru в сервисе dnstwist.it

Теперь давай‑ка проверим, что же все‑таки находится на этом самом gaazprom.ru.

2.png

Пример содержимого мошеннического сайта. 14 свободных мест, надо брать!


ПОДДОМЕН​

Тут все просто. Если сканировать сайт openstockinvest.cyou, то мы ничего не увидим. А если зайти на поддомен hххp://bussiness.openstockinvest.cyou, то внезапно обнаружим мошеннический лендинг.

3.png

Мошеннический сайт на поддомене


ЗОНА КОМФОРТА​

Часто поиск мошеннических сайтов ограничивается лишь проверкой доменов в зоне ru. Если так делать, то ты упустишь сайты, зарегистрированные еще в 1555 доменных зонах. Тот же Dnstwist генерирует домены не во всех возможных зонах, что уводит из нашего поля зрения потенциальный улов.

Нужно получить все домены. Например, на сайте можно скачать список из 250 миллионов зарегистрированных доменов. Стоит сервис 7 долларов за 24-часовой доступ.

4.png

Сервис со списком зарегистрированных доменов domains-monitor.com


ПАРАЗИТЫ​

По аналогии с живой природой виртуальный паразит использует чужие ресурсы, чтобы жить как можно дольше и остаться незамеченным. Чаще всего для этого взламывается безобидный сайт и в один из подкаталогов заливается вредоносный.

5.png

Взломанный сайт коммерческой фирмы


СОСЕДИ​

Под этим методом я понимаю размещение мошеннических сайтов на «чужих» ресурсах. Например, hххps://gatrade.turbo.site — в данном случае веб‑страница создана в .

6.png

Пример сайта, созданного в конструкторе Яндекса

В эту же категорию можно отнести сайты, созданные на квиз‑платформах (это такие конструкторы онлайн‑опросов). Найденный мною ранее пример мошеннического опроса уже не работает, остались лишь его следы в Google.

7.png

Пример мошеннического опроса на платформе quizgo.ru


ВНУТРЯНКА​

Еще один способ защиты мошеннических сайтов от сканеров служб безопасности. Если перейти по ссылке hxxps://invest-it.live, тебя переадресует в Google, а сама мошенническая страница находится «внутри» сайта, по адресу hххps://invest-it.live/russian-platform.

8.png

Пример мошеннического ресурса в каталоге сайта


КЛОАКИНГ​

Этим термином обозначают подмену содержимого сайта в зависимости от технических особенностей посетителя. Например, если зайти с украинского IP по адресу hххp://gazpromrekl.ru, мы увидим мошеннический сайт.

9.png

Мошеннический сайт

А если зайти с любого другого IP, нам покажут магазин, продающий домики для котиков.

10.png

Пример подмены содержимого в зависимости от IP посетителя

Кстати, этот самый gazpromrekl.ru иногда глючит, и при заходе с российского IP он показывает сайт какой‑то веб‑студии. Похоже, ребята дополнительно монетизируют свои навыки. Клоакинг используется и в социальных сетях, в том числе для обхода модерации (а мы удивляемся, почему модераторы пропускают явно мошеннический контент. Просто их обманули с помощью технических средств).

11.png

Пример мошеннической рекламы в Facebook

Когда модератор переходит со своего европейского (или индийского) IP на 5000-privitum-podarok.ru, ему показывается один сайт, а если перейти с IP одной из стран СНГ, контент совершенно другой.

12.png

Разное содержимое в зависимости от IP посетителя


ВЫВОДЫ​

Перечисленными способами размещения мошеннических сайтов весь арсенал используемых жуликами методов не исчерпывается. Существует целый бизнес по продаже готовых лендингов, копирующих сайты известных фирм и банков, а также нацеленные на организацию лохотронов партнерки.

13.png

Пример CPA-партнерки с мошенническими лендингами

Поэтому наиболее эффективны всего два способа борьбы с мошенничеством: техническая блокировка того, что ты смог найти (если ты ИБ/ИТ‑шник), и обучение сотрудников, родственников и друзей правилам информационной безопасности. Оно включит у пользователя «мозгофайрвол», который работает намного лучше всех технических средств, вместе взятых.
 
Сверху Снизу