演劇としてのソーシャルエンジニアリング、またはフィッシングドメインとチェーホフライフルの共通点

こんにちは 私の名前はVitaly Andreevで、InfosecurityのETHICビジネスのリーディングエキスパートとして働いています。 過去1年間、私は共有したいさまざまな人気のある詐欺スキームの多くの例を蓄積し、同時にフィッシングとソーシャルエンジニアリングの世界からのいくつかの傾向を分析しました。



毎日、約1,000の新しいドメイン名がネットワークに登録されていますが、これは実際にアクティブなサイトの数よりも何倍も多くなっています。 1つの記事のフレームワーク内ですべての使用シナリオを検討するのは無意味で非常に長いので、そのうちのいくつか、つまり詐欺目的でのドメイン名の使用についてのみ説明します。



フィッシングとソーシャルエンジニアリングの問題は、すべてのネットワークユーザーに影響を与える可能性があります。 フィッシングサイトに遭遇したり、ソーシャルエンジニアリングの別の兆候に遭遇したりすることは、たとえばトロイの木馬を拾うよりもはるかに簡単です（ただし、ソーシャルエンジニアリングの方法を使用して送信される可能性が高いです）。 なぜソーシャルエンジニアリングとドラマを比較することにしたのですか？ それは芸術作品とほぼ同じ区画構造の原理に基づいており、犠牲者は一種のパフォーマンスの中心にいるからです。



良いドメイン名は、フィッシングサイトや詐欺サイトの成功の半分です。 しかし、良いドメインは道に迷うことはないので、詐欺師は適切なドメイン名の束を事前に登録し、それらをすぐに待つようにします。 最も明らかに、状況は銀行の例で見ることができます。 毎週、「bank」パーティクルを持つ約1.5千のドメインが登録されます。 さらに、銀行の人気が高いほど、子音のドメイン名を取得する意思が高まります。



たとえば、2月には、「sberbank」、「bonus」、および「3000」という単語を含むドメイン名のバリエーションが非常に人気がありました。 見てください：

• bonus3000-sberbank.ru
• sberbank-darit-3000.ru
• podarok3000-sberbank.ru
• sberbank-3000bonus.ru
• sberbank3000.ru
• 3000sberbank.ru

また、さまざまなデザインのさらに多くの類似したオプション。



これらのドメインはすべて、2つの共通の詳細を共有しています。 第一に、それらはBeget社を通じて登録され、第二に、どこにもつながりません。



これらのドメインを登録する目的を理解するために、秘密の知識や特別なスキルは必要ありません。検索エンジンに「Sberbank bonus 3000」という魔法の言葉を入力するだけです。 出力では、レビューの典型的な例を取得します。

3,000ルーブルのボーナスをオンラインでSberbankに登録しました。 SMS経由でパスワードを入力すると、CH Debit RUS mOSCOW QIWI AFTで私のカードから30,000ルーブルを引き出したことがわかりました。 どうすれば返金できますか？

私の地図には120,000がありました。 彼らはすべてを削除しました。 そしてマイナスは3万になりました

どうやら、攻撃者が被害者の銀行口座にアクセスすることを許可していた古いスキームを誰かが復活させようとしており、ドメイン名がただ待っていました。



ワードバンクの近くで次に人気のある単語はポーリングです。 ここではさらに簡単です。受信トレイの迷惑メールフォルダを見るだけで、手紙のヘッダーがあなたを待っている支払いについて叫びます。



手紙からのリンクをたどると、そのようなサイトであなた自身を見つけるでしょう。







数十の率直に愚かな質問に対する答えの結果として、あなたは、銀行カードの詳細を入力するように親切に求められます。 ただし、場合によっては、詐欺師は自分の詐欺を偽装し、他の人の携帯電話に料金を支払っていることをプレーンテキストでデータ入力の形で示すことさえしません。



このスキーム全体は非常に原始的ですが、ここ数か月でグーグルとインスタグラムで積極的に展開されていることは驚くべきことです。







ところで、Sberbankからのこれらの投票はopros@sberbank.ruからのものです。



Sberbankが例として選ばれたのは、最大の銀行が常にさまざまな種類の詐欺師の注目を集めてきたからです。 ここでのロジックは単純です。フィッシングメールを受信した潜在的な被害者の間で、この特定の銀行のクライアントになる可能性は常に非常に高いです。 ただし、多くの疑わしいドメインは、他の有名なブランドの名前とともに表示されます。











たとえば、VimpelComボーナスプログラムのWebサイトアドレスを見てください。 この場合、ドメイン名には、少なくとも何らかの意味的な負荷がかかりません。 アンケートのあるサイトはホスティングを変更し、ドメインからドメインに移動することが多いため、ジェネレータプログラムは明らかにここで機能しました。



ブランドにまったく言及していないサイトもあります。 今年の投票とポイント！







実際、これらの調査詐欺はすべて、わずかに変更された支払い詐欺スキームです。 また、今だけ質問に答える必要があります。







私はそのような詐欺的なスキームのパフォーマンスについて常に懐疑的でした、それらはあまりにも不器用です。 1通の手紙は手紙に、もう1通はウェブサイトに、3通目はお金を引き出すときに書かれます。







実験の純度を高めるために、テストメールボックスのすべてのフィルターをオフにしました。今では、世界中が突然お金をくれることに決めたようです。 文字の異なる日付に注意を払ってはいけません-スクリーンショットは一年を通して撮影され、現在、文字の最も興味深い特徴的なバージョンが選択されています。











そして、ここが私のお気に入りです。 Repost of the Yearにノミネートされることを常に夢見ていました！







不思議なことに、このようなメールは目の前で変化しています。 そして半年前であれば、ほとんどの手紙には詐欺サイトへの直接リンクが含まれていましたが、今ではそのような手紙にはDropboxのようなクラウドストレージにあるファイルへのリンクがあります。 このファイル内のリンクは、悪意のあるサイトにつながります。 これは、スパムメールフィルターをバイパスするために行われます。







1つは不変です。サイトがどのように見え、どのブランドをカバーしているのかに関係なく、この種のページになります。











「カードからカードへの転送」という碑文に注意してください-男はまったく緊張しません。



あなたは今この記事を読んでおり、おそらくそのような原始的な離婚はうまくいかないと思うでしょう。 しかし、残念ながら、これはそうではありません。 もちろん、そのような社会的詐欺に関する公式で信頼できる統計は、自然界には存在しません。 しかし、郵送の規模と同様のサイトの数を考えると、確かに言うことができます：スキームは機能します。 詐欺師は、単に収入をもたらさないものにエネルギーとお金を浪費しません。



しかし、私たちのドメインに戻ります。 フィッシングと詐欺は、我が国だけでなく繁栄しています。 2月、トルコの銀行Denizbankは幸運ではありませんでした（国のトップ5の銀行に含まれています）。 わずか1か月で、その名前に何らかの関係がある4ダース以上のドメインがネットワークに現れました。 前の記事のように、それらはすべて同じ会社のレジストラを通じて登録されており、どのリソースにも結び付けられていません。 これらは次のようになります。

• tr-sube-denizbankasi.com
• bireysel-denizbank-sube-tr.com
• denizbankk-sube-tr.com
• denizbank-cep-tr.com
• online-denizbank-sube.com
• denizbank-cepte-tr.com
• acikdeniz-denizbanksube.com
• deniz-denizbank.com

などなど。



別のトルコの銀行であるハルクバンクも同様です。



もちろん、これらのドメインが違法な目的で登録されているという証拠はありません。 しかし、そのようなドメイン名は一種の「チェーホフライフル」です。ある日、彼らは確かに「撃つ」でしょう。



銀行の名前を使用するドメインでは、すべてが多かれ少なかれ明確ですが、名前には、都市または国の名前と組み合わせて粒子の「銀行」が含まれることもあります。



たとえば、今年の初めに誰かが真剣にドメイン化を行うことを決定し、数週間で「*** bank.com」、「firstbankof ***。Com」、「nationalbankof ***。Com」という形式の数百の名前を作成しました。 ”、” *** Savingbank.com”および単に“ bankof ***。Com”（アスタリスクは主要都市または国の名前を置き換えます）。 なぜこれがドメイン化であると判断したのですか？ はい。これらのサイトのいずれかにアクセスすると、ドメインの購入を提案するページと、現在利用できないafternic.comへのリンクが表示されます。







しかし、特に創造的なアプローチが行われた場合、パークされたドメインの代わりに真の不正サイトが出現する場合は、はるかに興味深いです。



創造的なアプローチの良い例はfpb-bank.ruです。 ご自身で確認してください。名前は2017年にライセンスを失ったFinprombankから取られ、デザインとコンテンツはウクライナのShvidkoGroshi（http://sgroshi.com.ua/）から完全にコピーされます。







このサイトは、あなたの名前の日帰りローン会社への登録のために彼らの文書のスキャンを送ることを申し出ました。 残念ながら、リソースは表示されるとすぐに消失したため、そのコピーはWebアーカイブにも保存されませんでした。 特徴的なのは、この場合、サイト自体が登場するずっと前に、ドメイン名が事前に登録されていたことです。



ドメイン空間での発掘は、時には驚くべきことを示したり、完全に途方に暮れたりします。 しかし、ネット上で遭遇する奇妙で神秘的な出来事に別の記事を捧げたいと思います。