Світ кіберзлочинності досить різноманітний, як би позитивно і привабливо це не звучало. Кожен новоспечений зловмисник, в міру своєї технічної підкутості, знаходить в сфері «кібер» відповідне застосування наявних знань. Від проявів кібер-зла, в першу чергу, страждають найменш захищені (обізнані) верстви населення. Так, невеликим трендом кінця 2015 початку 2016 року став (і продовжує нею бути) шахрайська діяльність, пов'язана зі створенням і розміщенням в мережі Інтернет підроблених веб-сайтів, що пропонують «послуги» моментального (без комісії) поповнення рахунку мобільного телефону, грошових переказів з картки на карту і т.п. Тільки за 2 останніх місяці ми зустріли близько 20 різновидів подібних веб-ресурсів. У даній статті, маючи на меті підвищення рівня обізнаності Інтернет-користувачів в області інформаційної безпеки, пропонуємо ознайомитися з приватними проявами вищевказаної шахрайської діяльності, а також, заглянути в технічні подробиці її реалізації і подивитися на те, як виглядають приклади успішно проведених атак.
Щоб плавно перейти до викладу матеріалу, наведемо кілька прикладів веб-сторінок, за допомогою яких здійснюється розглянутий в статті вид шахрайської діяльності (рис. 1-5). Відразу відзначимо, що різновидів таких ресурсів існує безліч, тому, наведені малюнки не є вичерпним переліком варіацій підроблених шахрайських веб-сайтів.
Мал. 1
Мал. 2
Мал. 3
Мал. 4
Мал. 5
Суть дуже проста - користувач заходить на шахрайські веб-сторінки. Рухомий необхідністю поповнити рахунок (та ще й на дуже привабливих умовах), він вибирає свого оператора, після чого відкривається інтуїтивно зрозуміла форма оплати (Рис. 6). Після заповнення необхідних полів всі введені дані банківської картки стають доступними зловмисникам. Ця схема також справедлива і для інших сервісів, які передбачають введення користувачем «чутливих» даних в веб-форми (наприклад - логінів і паролів).
Мал. 6
Всі скомпрометовані дані або відправляються зловмисникові на пошту, або зберігаються в файл, розміщений на тому ж веб-сервері серед інших файлів і папок веб-сайту. На рис. 7 відображений приклад програмного коду, що здійснює обробку і пересилку введених користувачем даних на електронну адресу зловмисника ( [Email protected] ).
Мал. 7
Приклади скомпрометованих даних відображені на рис. 8-9. Перша колонка на зазначених малюнках відображає кількість спроб, які зробив користувач, щоб все-таки пройти процедуру авторизації або домогтися успішності транзакції (не усвідомлюючи, що ресурс шахрайський).
Мал. 8
Мал. 9
Отримавши бажаний результат (у вигляді вкрадених логінів і паролів і / або даних банківських карт), зловмисники вживають заходів по монетизації цієї інформації.
Ще однією метою, яку ми переслідували в даному дослідженні, було розуміння (точніше - технічне підтвердження) того, яким чином потенційні жертви знаходять злощасні ресурси. Проаналізувавши і скоррелировать дані з обмеженої кількості шахрайських ресурсів, ми прийшли до висновку, що посилання на підроблений ресурс «спливає» при пошуковій видачі Yandex (в даному випадку зустрічалася тільки ця пошукова машина).
Щоб з'ясувати які пошукові запити передували отриманню посилання на шахрайський ресурс, був проведений аналіз лог-файлів веб-серверів, а саме - HTTP-заголовків Referrer. У нашому випадку, пошукові запити, представлені в URL-кодуванні, містилися в двох змінних - «q» або «text»:
q = [рядок в URL-кодуванні] [кінець рядка] text = [рядок в URL-кодуванні] & [наступний параметр]
Для зручності конвертації URL-кодування в читаний текст, був створений алиас urldecode
alias urldecode = 'python -c "import urllib, sys; print urllib.unquote_plus (sys.stdin.read ())";
Вибірка необхідних пошукових запитів і їх конвертація з URL-кодування в читаний текст здійснювалася так:
$ Zcat access.log * .gz | awk -F \ " '{print $ 4}' | sort -n | uniq -c | sort -rn | grep -oP '(? <= q =) (\% [A-Z0-9] {2} \ + ?) + (? = $) '| urldecode $ zcat access.log * .gz | awk -F \ "' {print $ 4} '| sort -n | uniq -c | sort -rn | grep -oP '(? <= text =) (\% [A-Z0-9] {2} \ +?) + (? = &)' | urldecode
На цьому майже все. ТОП-30 найбільш поширених запитів, при пошуку за допомогою яких в Yandex видавалася, в т.ч., посилання на шахрайський ресурс, відображений нижче:
поповнити рахунок лайф поповнити рахунок київстар поповнити мобільний телефон через банківську карту без комісії поповнення рахунку лайф за допомогою банківської карти без комісії поповнення рахунку київстар оператор на лайф номер номер оператора київстар номери телефонів як дізнатися свій номер телефону дізнатися номер телефону робота в Житомирі від роботодавців з номерами телефонів поповнити рахунок мтс поповнити рахунок київстар через інтернет банківською картою поповнити мтс з банківської карти без комісії України поповнити лайф поповнити київстар банківської карти без комісії України поповнити київстар поповнення рахунку мтс за допомогою банківської карти без комісії поповнення київстар познайомлюсь з дівчиною по номеру телефону номер оператора лайф купити номер киевстар в кривому розі київстар поповнення рахунку київстар номер оператора як дізнатися свій номер лайф як дізнатися свій номер телефону если заблокованості номер телефону то смс приходять? як дізнатіся тарифний план за номером телефону лайф як Дізнатись свой номер лайф як візначіті місце Розташування абонента за номером телефону київстар без попередження через компютер
Наведені в статті дані і висновки навряд чи можна вважати «середньостатистичними», так як з 40 шахрайських веб-сайтів такої тематики ми мали можливість детально проаналізувати тільки 4. Разом з тим, якась частка істини щодо загрози в цілому таки присутня.
Діяльність, спрямована на виявлення шахрайських ресурсів здійснюється за участю відповідальних представників українських банків і платіжних сервісів. Координують діяльність фахівці Української міжбанківської асоціації членів платіжних систем «ЕМА».
Роботи, спрямовані на ліквідацію інцидентів проводяться акредитованою в FIRST командою реагування на інциденти інформаційної безпеки CyS-CERT , Що функціонує на базі CyS Centrum, за сприяння CERT-GIB , Операторів / провайдерів телекомунікацій та реєстраторів доменних імен України, а також компетентних іноземних організацій.
Всі скомпрометовані дані, виявлені в результаті проведеної роботи, передані компетентним організаціям для прийняття заходів по інформуванню користувачів і усунення загрози. Перелік електронних адрес, використовуваних для отримання зловмисниками вкраденої інформації, з метою їх блокування переданий службам безпеки відповідних сервісів.
Закликаємо бути пильними. У разі виявлення шахрайських веб-ресурсів, рекомендуємо інформувати ЕМА через створену веб-форму .
Підрозділ реагування на інциденти CyS Centrum (CyS-CERT)
A-Z0-9] {2} \ +?
