Техно Блог

Реальная история, логотипы и реквизиты Банка стерты по различным соображениям. Фишинг или Fishing какой смысл писать о нем при наличии Википедии — свободной энциклопедии, а так же трубящих гуглов, яндексов и фоксов? Во первых навеяло. Во вторых напомнить себе и читателям о том, что нежелательная электронная почта не только отнимает время, как минимум на ее удаление, но еще и риск получить свежий "не убиваемый" вирус и массу проблем. Кроме того в прошлом году на моих глазах две площадки, два интернет проекта взламывались злоумышленниками каждый квартал для размещения вредоносного кода. Так или иначе все началось с получения не желательной почты:

Электронная почта с уведомлением побуждающим к действию.

Как интересно. Банк, домен первого уровня, и сообщение  о том, что Вы получили почти Джек-Пот! Какое интересное письмо. Смотрел на это сообщение несколько минут. Проверил почтовый домен, такого не существует. Естественно это просто фантазия автора и рассылка спам-ботом, сервисом, или каким то самописным скриптом или ПО. В общем письмо замаскировано под сообщение для клиента Банка, и содержит все признаки и намеки кричащие: Идентифицируй меня как реальное, не фейк-письмо. Изучив ссылку в теле письма, обнаружил в этой длинной ссылке странный домен, не вызывающий никакой ассоциации с банком. Сократив ссылку до первого символа "/" - обнаружел вовсе не Банк.

Ссылка в письме ведет на странный домен

Все стало понятно. Это Фишинг Fishing. Смотрим дальше. Ссылка в письме, проверка на безопасность. Открываем, и видим на этом домене, но страницу с логином и паролем, входом в систему интернет-банкинга. Это уже интересно.

Фишинговая страница WEB Банкинга

Взломан хостинг, размещена страница банка на хостинге стороннего домена. И размещены дополнительные скрипты. При вводе произвольных паролей и логинов, сессия авторизации переходит на страницу банка. В этот момент, скорее всего данные логина и пароля записываются и отправляются скриптом на почтовый адрес злоумышленника.

Оригинальная страница Банка

Ну и что, удаляем письмо и можно забыть. Но стало любопытно, как отреагирует Банк. После отправки репорта о вредоносном сайте поисковикам, звонок в Банк. Опытного оператора трудно вывести из состояния равновесия. Но скорее всего дежурный службы безопасности был не готов к звонку из за пределов периметра Банка с информацией о возможной утечке данных логинов и паролей пользователей. Поэтому пришлось несколько минут висеть на парковке в холде. Представляю его реакцию. Непосредственно со службой безопасности контакта не было. Но оператор предпринимал все попытки удержания звонка на линии несколько минут, после этого практически без задержек, сообщение было принято.

Произошла утечка данных или нет, пусть разбираются самостоятельно. Думаю, утверждать об утечке можно с высокой вероятностью, если инсайдер смог обеспечить злоумышленникам утечку почтовых адресов клиентов из базы данных Банка. В этом случае СПАМ-рассылка по электронной почте будет максимально эффективна.

Какие выводы? Удаляем всегда не желательную почту, антивирус и спам-фильтры на максимум. При вводе логинов и паролей, всегда проверять строку браузера, где и на каком сайте, физически вводим логин и пароль. Это минимум что необходимо делать.