Фишинг и никакой химии

в 16:21, , рубрики: информационная безопасность, мошенничество, мошенничество в интернете, мошенничество поддельный сайт, фишинг, фишинговый сайт

image

В силу своей работы я часто сталкиваюсь с различными проявлениями сетевых мошенничеств и, конечно же, с фишинговыми ресурсами.

Когда речь заходит о фишинговых сайтах, первым делом в голову приходят различные схемы, предназначенные для кражи паролей и прочей информации, представляющей интерес для злоумышленников. Но векторы использования фишинговых ресурсов весьма разнообразны. Поэтому определение фишинга, приведенное, скажем, в Википедии, не в полной мере раскрывает его суть.

Вот, например, сайты-двойники, созданные не для кражи данных, а для введения в заблуждение контрагентов. Ну чем не фишинг? Интерес мошенников к созданию таких сайтов не падает уже лет 10. Тут необходимо сделать оговорку, что речь идет не о сайтах типа «продам стройматериалы недорого, деньги вперед», а именно о сайтах-двойниках реально существующих предприятий.

Вот таких:

image

image

На первой картинке оригинальный сайт химического предприятия, на второй – его клон. Этот пример выбран неслучайно. Во-первых, данный клон уже привлекал к себе внимание разных исследователей, а во-вторых, он на удивление живуч. Доменное имя TOAZ.PW зарегистрировано еще в ноябре прошлого года.

Рассмотрим поближе этот сайт и разберемся в том, как работает данная мошенническая схема. Первое, что бросается в глаза – это шрифты. Судя по всему, они потерялись где-то в процессе копирования сайта граббером. Но в остальном ресурс выглядит вполне аутентично за исключением того, что новости на нем не обновлялись с октября 2018 года.

Все самое интересное начинается в разделе «Контакты». Телефоны, указанные на странице, не имеют никакого отношения к настоящему предприятию. Но к телефонам мы еще вернемся. Именно они послужат главной зацепкой.

Смотрим дальше. Адреса электронной почты также отличаются от тех, что указаны на настоящем ресурсе. Особенно трогательно в этом свете выглядит скопированное с сайта компании предупреждение о мошенничестве. Злоумышленники заботливо заменили адрес «линии доверия» на свой, оставив текст практически без изменений.

image

Следующий элемент – прайс-листы. На оригинальном сайте они размещены в формате PDF. В таком же формате они перекочевали и на сайт-подделку, потеряв при этом настоящие номера телефонов и адреса электронной почты. Бросается в глаза то, что мошенники даже не позаботились выбором шрифтов. И так сойдет…

image

С учетом того, что изменениям подверглись лишь контактные данные, можно предположить, что сайт-двойник создан для обмана потенциальных контрагентов предприятия.

В общих чертах схема обмана выглядит так:

  1. Создаем сайт двойник уважаемого предприятия
  2. Рассылаем от имени предприятия письма потенциальным клиентам
  3. Привлекаем еще больше потенциальных клиентов
  4. Получаем предоплату за поставку продукции
  5. ???????
  6. PROFIT

Деньги обычно переводятся на счета фирм однодневок, но это уже совсем другая история, которую, впрочем, можно будет затронуть в отдельной статье.
Сама по себе мошенническая схема стара как мир, но до сих пор остается вполне действенной. С одной лишь оговоркой. Одного сайта-двойника недостаточно. Срок жизни фишинговых ресурсов недолог (висящий в сети уже полгода TOAZ.PW – исключение из правил), а значит мошенникам нужно постоянно создавать новые сайты.

И они быстро находятся. Анализ данных Whois, адресов электронной почты и телефонов позволяет навскидку получить еще два двойника искомого сайта: toaoz.ru и toaoz.com. Один из них уже мертв (но вебархив все помнит), на втором же судя по всему отвалился CSS.
Интересно, что несмотря на почтовые адреса формата ***@toaz.pw, злоумышленники на деле используют почтовые серверы Mail.Ru и Яндекса. Так удобнее.

Копаем дальше. На одном IP с сайтом toaoz.com висят не менее интересные ресурсы:

  • uralechem.com
  • min-udo.org
  • agrocenter-eurochem.info

Два последних на момент написания статьи уже недоступны, а вот первый – клон сайта компании «Уралхим» жив до сих пор.

Дальнейший поиск позволяет получить еще десяток доменных имен, использовавшихся для создания сайтов-клонов предприятий химической промышленности.

Расписывать весь процесс поиска было бы слишком долго, поэтому приведем упрощенную схему взаимосвязей фишинговых ресурсов.

image

На схеме указаны не все ресурсы, кроме того, в ней намеренно скрыты персональные данные, а также номера телефонов и наименования некоторых сайтов, не имеющих прямого отношения к криминальной схеме.

Некоторые из засвеченных телефонов всплывают в поисковиках в привязке к различным сервисам для анонимного получения СМС-подтверждений.

Беглый анализ ресурсов позволяет предположить, что данная схема уходит корнями к мошенникам, создававшим несколько лет назад клоны сайтов концерна «Еврохим».

В сети можно встретить отзывы предпринимателей, ставших жертвами подобных сайтов. Многие из них настроены довольно решительно, намереваясь отстаивать свою правду и свои деньги в суде. Но вот только вряд ли они понимают, что судиться им придется не с недобросовестным поставщиком, а с фирмой-однодневкой, активы которой стремятся к нулю. В реестрах юрлиц можно найти немало таких «ООО», в отношении которых открыто исполнительное производство.
Только вот брать с них решительно нечего. Деньги уже давно перекочевали в карман организаторов этого бизнеса.

Мошенники не ограничиваются Россией. Многие фишинговые сайты имеют англоязычные версии, а на зарубежных форумах активно обсуждают «кидал из России».

На некоторых ресурсах даже составляют списки организаций, с которыми не стоит иметь дело. Среди них встречается особенно много компаний нефтегазовой отрасли, что понятно – направление весьма денежное. В этих списках можно обнаружить в том числе и адреса сайтов, ставших героями нашей сегодняшней подборки.

Причин популярности этой схемы довольно много. В отличие от мошенников, наживающихся на физических лицах, обман юр. лиц несет куда большую выгоду, позволяя злоумышленникам за несколько сделок получать миллионы рублей.

Кроме того, подобный обман вскрывается далеко не сразу. Срыв поставок — не такое уж редкое явление в бизнесе, поэтому мошенники стараются как можно дольше протянуть время, придумывая различные объяснения задержкам. Это время они используют для заметания следов и вывода денежных средств. Когда же жертва наконец понимает, что ее обманули, время для расследования преступления «по горячим следам» оказывается безнадежно упущенным.

image

Есть и еще одна причина успеха данного криминального бизнеса. Создавая клоны сайтов крупных предприятий, мошенники не наносят им прямого урона. В некоторой степени страдает лишь их репутация, да и то весьма опосредованно.

Поэтому промышленные гиганты крайне неохотно занимаются борьбой с подобными фишинговыми ресурсами. Третьим же лицам бороться с ними еще сложнее. Ведь если компания, чей сайт был скопирован злоумышленниками, может использовать различные правовые рычаги воздействия, например потребовать прекращения неправомерного использования бренда, то жертвам фишинга не остается ничего другого, кроме как доказывать, что сайт принадлежит мошенникам и используется в противоправных целях. И тут они сталкиваются с целым рядом сложностей, ведь факт мошенничества, вернее умысел, еще нужно доказать. А любой юрист знает, что мошенничества являются одними из самых сложных преступлений с точки зрения сбора доказательной базы, тем более когда речь идет о взаимоотношениях юридических лиц.

Что же остается делать? Клиентам – тщательнее относиться к проверке контрагентов и не перечислять деньги на счет очередного ООО «Вектор». А промышленным компаниям не абстрагироваться от проблемы, а отслеживать появление клонов своих ресурсов и своевременно предпринимать необходимые меры. Тем более, что все необходимые для этого инструменты в наше время имеются. Вопрос лишь в желании организации заботиться о безопасности своих потенциальных клиентов.

Автор: Vit1218

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js