Эксперт StopPhish делится своим опытом в выявлении фишинговых ресурсов. Эти знания будут полезны для тех, кто занимается обеспечением безопасности организаций, а также для белых хакеров, которые хотят потренироваться в исследовании мошеннических сайтов.
Как это было: пример исследования фишингового сайта
В очередной раз, не ради любопытства, а с целью поиска новых фишинговых образцов, эксперт StopPhish изучал песочницу для анализа подозрительных файлов и ссылок. В процессе анализа была обнаружена фишинговая ссылка, которую можно увидеть здесь: ссылка на песочницу.
Фишинговая ссылка выглядела следующим образом (часть ссылки была сокращена, чтобы не перегружать контент): https://elekente<.>top/verifyi…yJekpXM/index.html#br11@mаriа-ra.ru.
В этой фишинговой форме автоматически подставлялся email жертвы, а пользователю оставалось лишь ввести пароль, что делало ее типичным примером фишинга для кражи учетных данных.
Использование инструментов для анализа фишинговых ресурсов
Следующим шагом стало изучение IP-адреса, на котором размещен сайт elekente.tор. Используя сервис SUIР.biz, был выявлен IP сайта — 193.25.216.10.
Далее через этот же сервис был произведен поиск других сайтов, расположенных на данном IP. И результаты не заставили себя ждать — была обнаружена целая сеть фишинговых сайтов, среди которых:
www.userbris.tор
www.unsatake.tор
www.themedevisers.соm
www.qfsledgersfirm.соm
www.icenitre.tор
www.estosivo.tор
www.elevemie.tор
www.acctcheck.tор
и другие...
В общей сложности, на одном IP были найдены 27 фишинговых доменов, каждый из которых использовал одну и ту же фишинговую форму авторизации.
К каждому домену добавлялась ссылка формата "/verifying_email/bapi/composite/v1/private/message/view_bEt=eyJhbGciOiJIUzI1NiJ9.eyJjd..., и по этой ссылке можно было увидеть одну и ту же фальшивую форму для ввода учетных данных.
Дальнейшие действия: отправка жалоб
Для тех, кто хочет более глубоко исследовать эти сайты, пентестеры могут потренироваться, изучая админки данных ресурсов. А что касается блокировки фишинговых доменов, StopPhish отправил жалобы их регистратору доменов — компании NameSilo. Адрес для жалоб был найден через сервис Whois, и соответствующие уведомления были направлены.
Возможно, 27 доменов разделегируют, тогда мир на время станет чуть-чуть безопаснее.
Вывод
Этот пример наглядно показывает, насколько важно быть внимательными при работе с подозрительными ссылками и доменами. Добавление таких ресурсов в черные списки организации и регулярный мониторинг — неотъемлемая часть кибербезопасности.
Надеемся, что данная информация будет полезна, и мы сможем сделать интернет чуть более безопасным.
Всем добра!