Анализируя мошеннические сайты, порой диву даешься изобретательности жуликов. То пиццу тебе предлагают бесплатную, то моргенкоины… Встречаются и ресурсы, о которых с ходу и не скажешь, что они мошеннические: эти сайты просто собирают контакты, чтобы потом, сформировав базу, сразу всех развести. Однако прежде чем хорошенько изучить созданный интернет‑жуликами сайт, сначала надо его найти. О методах поиска и о том, как мошенники прячут свои ресурсы в сети, мы сейчас и поговорим.
Бывает, в компанию или службу банка, занимающуюся интернет‑безопасностью, поступает жалоба на тот или иной сайт, что и становится поводом к расследованию. Этот случай мы рассматривать не будем, а допустим, что ИБ‑шник
Самый простой способ включает следующие нехитрые действия:
- скачиваем список зарегистрированных за последние несколько месяцев доменов в зоне .ru c сайта Domains.ihead.ru (в списке перечислены домены, зарегистрированные за последние три месяца);
- ищем домены, похожие на официальные домены крупных компаний и банков;
- заходим на сайт и смотрим, что же там находится;
- если обнаружен мошеннический ресурс, подаем заявку на блокировку домена регистратору, жалуемся хостеру или настраиваем межсетевой экран для блокировки подобных ресурсов в собственном периметре.
ПОХОЖЕЕ НАПИСАНИЕ
Если, например, из списка всех доменов отобрать домены со словом gaz, то домен gaazprom.ru ты уже не обнаружишь, а вот утилита Dnstwist из Kali поможет его найти. Еще можно использовать онлайн‑сервисы Dnstwist или Dnstwister.report.Dnstwist генерирует шесть разных типов написания основного домена и проверяет, какие из них зарегистрированы. Например, для официального gazprom.ru было сгенерировано и проверено 2270 вариантов. 38 доменов оказались зарегистрированы.
Результаты проверки домена gazprom.ru в сервисе dnstwist.it
Теперь давай‑ка проверим, что же все‑таки находится на этом самом gaazprom.ru.
Пример содержимого мошеннического сайта. 14 свободных мест, надо брать!
ПОДДОМЕН
Тут все просто. Если сканировать сайт openstockinvest.cyou, то мы ничего не увидим. А если зайти на поддомен hххp://bussiness.openstockinvest.cyou, то внезапно обнаружим мошеннический лендинг.
Мошеннический сайт на поддомене
ЗОНА КОМФОРТА
Часто поиск мошеннических сайтов ограничивается лишь проверкой доменов в зоне ru. Если так делать, то ты упустишь сайты, зарегистрированные еще в 1555 доменных зонах. Тот же Dnstwist генерирует домены не во всех возможных зонах, что уводит из нашего поля зрения потенциальный улов.Нужно получить все домены. Например, на сайте Domains-monitor.com можно скачать список из 250 миллионов зарегистрированных доменов. Стоит сервис 7 долларов за 24-часовой доступ.
Сервис со списком зарегистрированных доменов domains-monitor.com
ПАРАЗИТЫ
По аналогии с живой природой виртуальный паразит использует чужие ресурсы, чтобы жить как можно дольше и остаться незамеченным. Чаще всего для этого взламывается безобидный сайт и в один из подкаталогов заливается вредоносный.
Взломанный сайт коммерческой фирмы
СОСЕДИ
Под этим методом я понимаю размещение мошеннических сайтов на «чужих» ресурсах. Например, hххps://gatrade.turbo.site — в данном случае веб‑страница создана в конструкторе сайтов от Яндекса.
Пример сайта, созданного в конструкторе Яндекса
В эту же категорию можно отнести сайты, созданные на квиз‑платформах (это такие конструкторы онлайн‑опросов). Найденный мною ранее пример мошеннического опроса уже не работает, остались лишь его следы в Google.
Пример мошеннического опроса на платформе quizgo.ru
ВНУТРЯНКА
Еще один способ защиты мошеннических сайтов от сканеров служб безопасности. Если перейти по ссылке hxxps://invest-it.live, тебя переадресует в Google, а сама мошенническая страница находится «внутри» сайта, по адресу hххps://invest-it.live/russian-platform.
Пример мошеннического ресурса в каталоге сайта
КЛОАКИНГ
Этим термином обозначают подмену содержимого сайта в зависимости от технических особенностей посетителя. Например, если зайти с украинского IP по адресу hххp://gazpromrekl.ru, мы увидим мошеннический сайт.
Мошеннический сайт
А если зайти с любого другого IP, нам покажут магазин, продающий домики для котиков.
Пример подмены содержимого в зависимости от IP посетителя
Кстати, этот самый gazpromrekl.ru иногда глючит, и при заходе с российского IP он показывает сайт какой‑то веб‑студии. Похоже, ребята дополнительно монетизируют свои навыки. Клоакинг используется и в социальных сетях, в том числе для обхода модерации (а мы удивляемся, почему модераторы пропускают явно мошеннический контент. Просто их обманули с помощью технических средств).
Пример мошеннической рекламы в Facebook
Когда модератор переходит со своего европейского (или индийского) IP на 5000-privitum-podarok.ru, ему показывается один сайт, а если перейти с IP одной из стран СНГ, контент совершенно другой.
Разное содержимое в зависимости от IP посетителя
ВЫВОДЫ
Перечисленными способами размещения мошеннических сайтов весь арсенал используемых жуликами методов не исчерпывается. Существует целый бизнес по продаже готовых лендингов, копирующих сайты известных фирм и банков, а также нацеленные на организацию лохотронов партнерки.
Пример CPA-партнерки с мошенническими лендингами
Поэтому наиболее эффективны всего два способа борьбы с мошенничеством: техническая блокировка того, что ты смог найти (если ты ИБ/ИТ‑шник), и обучение сотрудников, родственников и друзей правилам информационной безопасности. Оно включит у пользователя «мозгофайрвол», который работает намного лучше всех технических средств, вместе взятых.
