Искусство маскировки. Как мошенники прячут свои сайты в интернете

Ана­лизи­руя мошен­ничес­кие сай­ты, порой диву даешь­ся изоб­ретатель­нос­ти жуликов. То пиц­цу тебе пред­лага­ют бес­плат­ную, то мор­генко­ины… Встре­чают­ся и ресур­сы, о которых с ходу и не ска­жешь, что они мошен­ничес­кие: эти сай­ты прос­то собира­ют кон­такты, что­бы потом, сфор­мировав базу, сра­зу всех раз­вести. Одна­ко преж­де чем хорошень­ко изу­чить соз­данный интернет‑жулика­ми сайт, сна­чала надо его най­ти. О методах поис­ка и о том, как мошен­ники пря­чут свои ресур­сы в сети, мы сей­час и погово­рим.

Бы­вает, в ком­панию или служ­бу бан­ка, занима­ющуюся интернет‑безопас­ностью, пос­тупа­ет жалоба на тот или иной сайт, что и ста­новит­ся поводом к рас­сле­дова­нию. Этот слу­чай мы рас­смат­ривать не будем, а допус­тим, что ИБ‑шник за­хотел получить пре­мию сам решил най­ти вре­донос­ные сай­ты.

Са­мый прос­той спо­соб вклю­чает сле­дующие нехит­рые дей­ствия:

• ска­чива­ем спи­сок зарегис­три­рован­ных за пос­ледние нес­коль­ко месяцев доменов в зоне .ru c сай­та Domains.ihead.ru (в спис­ке перечис­лены домены, зарегис­три­рован­ные за пос­ледние три месяца);
• ищем домены, похожие на офи­циаль­ные домены круп­ных ком­паний и бан­ков;
• за­ходим на сайт и смот­рим, что же там находит­ся;
• ес­ли обна­ружен мошен­ничес­кий ресурс, пода­ем заяв­ку на бло­киров­ку домена регис­тра­тору, жалу­емся хос­теру или нас­тра­иваем меж­сетевой экран для бло­киров­ки подоб­ных ресур­сов в собс­твен­ном перимет­ре.

Бо­лее прод­винутый вари­ант — исполь­зовать самодель­ные или покуп­ные ска­неры, которые будут бороз­дить прос­торы интерне­та в авто­мати­чес­ком режиме. Вро­де все прос­то, одна­ко опи­сан­ный метод сра­баты­вает далеко не всег­да. Почему же най­ти мошен­ничес­кий сайт порой быва­ет нелег­ко? При­чин обыч­но нес­коль­ко.

ПОХОЖЕЕ НАПИСАНИЕ

Ес­ли, нап­ример, из спис­ка всех доменов отоб­рать домены со сло­вом gaz, то домен gaazprom.ru ты уже не обна­ружишь, а вот ути­лита Dnstwist из Kali поможет его най­ти. Еще мож­но исполь­зовать онлайн‑сер­висы Dnstwist или Dnstwister.report.

Dnstwist генери­рует шесть раз­ных типов написа­ния основно­го домена и про­веря­ет, какие из них зарегис­три­рова­ны. Нап­ример, для офи­циаль­ного gazprom.ru было сге­нери­рова­но и про­вере­но 2270 вари­антов. 38 доменов ока­зались зарегис­три­рова­ны.

Те­перь давай‑ка про­верим, что же все‑таки находит­ся на этом самом gaazprom.ru.

ПОДДОМЕН

Тут все прос­то. Если ска­ниро­вать сайт openstockinvest.cyou, то мы ничего не уви­дим. А если зай­ти на под­домен hххp://bussiness.openstockinvest.cyou, то вне­зап­но обна­ружим мошен­ничес­кий лен­динг.

ЗОНА КОМФОРТА

Час­то поиск мошен­ничес­ких сай­тов огра­ничи­вает­ся лишь про­вер­кой доменов в зоне ru. Если так делать, то ты упус­тишь сай­ты, зарегис­три­рован­ные еще в 1555 домен­ных зонах. Тот же Dnstwist генери­рует домены не во всех воз­можных зонах, что уво­дит из нашего поля зре­ния потен­циаль­ный улов.

Нуж­но получить все домены. Нап­ример, на сай­те Domains-monitor.com мож­но ска­чать спи­сок из 250 мил­лионов зарегис­три­рован­ных доменов. Сто­ит сер­вис 7 дол­ларов за 24-часовой дос­туп.

ПАРАЗИТЫ

По ана­логии с живой при­родой вир­туаль­ный паразит исполь­зует чужие ресур­сы, что­бы жить как мож­но доль­ше и остать­ся незаме­чен­ным. Чаще все­го для это­го взла­мыва­ется безобид­ный сайт и в один из под­катало­гов залива­ется вре­донос­ный.

СОСЕДИ

Под этим методом я понимаю раз­мещение мошен­ничес­ких сай­тов на «чужих» ресур­сах. Нап­ример, hххps://gatrade.turbo.site — в дан­ном слу­чае веб‑стра­ница соз­дана в конс­трук­торе сай­тов от Яндекса.

В эту же катего­рию мож­но отнести сай­ты, соз­данные на квиз‑плат­формах (это такие конс­трук­торы онлайн‑опро­сов). Най­ден­ный мною ранее при­мер мошен­ничес­кого опро­са уже не работа­ет, оста­лись лишь его сле­ды в Google.

ВНУТРЯНКА

Еще один спо­соб защиты мошен­ничес­ких сай­тов от ска­неров служб безопас­ности. Если перей­ти по ссыл­ке hxxps://invest-it.live, тебя пере­адре­сует в Google, а сама мошен­ничес­кая стра­ница находит­ся «внут­ри» сай­та, по адре­су hххps://invest-it.live/russian-platform.

КЛОАКИНГ

Этим тер­мином обоз­нача­ют под­мену содер­жимого сай­та в зависи­мос­ти от тех­ничес­ких осо­бен­ностей посети­теля. Нап­ример, если зай­ти с укра­инско­го IP по адре­су hххp://gazpromrekl.ru, мы уви­дим мошен­ничес­кий сайт.

А если зай­ти с любого дру­гого IP, нам покажут магазин, про­дающий домики для котиков.

Кста­ти, этот самый gazpromrekl.ru иног­да глю­чит, и при заходе с рос­сий­ско­го IP он показы­вает сайт какой‑то веб‑сту­дии. Похоже, ребята допол­нитель­но монети­зиру­ют свои навыки. Кло­акинг исполь­зует­ся и в соци­аль­ных сетях, в том чис­ле для обхо­да модера­ции (а мы удив­ляем­ся, почему модера­торы про­пус­кают явно мошен­ничес­кий кон­тент. Прос­то их обма­нули с помощью тех­ничес­ких средств).

Ког­да модера­тор перехо­дит со сво­его евро­пей­ско­го (или индий­ско­го) IP на 5000-privitum-podarok.ru, ему показы­вает­ся один сайт, а если перей­ти с IP одной из стран СНГ, кон­тент совер­шенно дру­гой.

ВЫВОДЫ

Пе­речис­ленны­ми спо­соба­ми раз­мещения мошен­ничес­ких сай­тов весь арсе­нал исполь­зуемых жулика­ми методов не исчерпы­вает­ся. Сущес­тву­ет целый биз­нес по про­даже готовых лен­дингов, копиру­ющих сай­ты извес­тных фирм и бан­ков, а так­же нацелен­ные на орга­низа­цию лохот­ронов пар­тнер­ки.

По­это­му наибо­лее эффектив­ны все­го два спо­соба борь­бы с мошен­ничес­твом: тех­ничес­кая бло­киров­ка того, что ты смог най­ти (если ты ИБ/ИТ‑шник), и обу­чение сот­рудни­ков, родс­твен­ников и дру­зей пра­вилам информа­цион­ной безопас­ности. Оно вклю­чит у поль­зовате­ля «моз­гофай­рвол», который работа­ет нам­ного луч­ше всех тех­ничес­ких средств, вмес­те взя­тых.