14.4.20

ИБ и рекламируемые на солидных ресурсах мошеннические сайты, "торгующие" медицинскими масками

На Хабре я уже писал о том, как мошенники Рунета отреагировали на коронавирус. Сейчас я бы хотел рассмотреть эту историю, но уже с другими примерами, немного с другой точки зрения. Иногда просматривая новости на различных солидных ресурсах, натыкаешься на рекламу, которую обычно пропускаешь уже на автомате. Но в этот раз глаз уцепился за два рекламных объявления, которые я увидел на мобильной версии сайта РБК (левых две картинки). Если приглядеться, то мы увидим, что они ведут на схожие по названию сайты - marketsshoop[.]ru и marketshoop[.]ru. Третья картинка - это реклама уже в стационарной версии какого-то популярного сайта. Эта ссылка ведет на ozonrf[.]ru (сразу скажу, что никакого отношения к Интернет-магазину "Озон" этот домен не имеет).

Зайдя из песочницы на эти сайты, видишь, как правило, заглушку. То есть домен создан, он приземлен на хостинг, но наполнения никакого нет. За исключением одного сайта, который действительно "торгует" масками. При этом, что странно, сами домены уже активно рекламируются, а вот ведущие с рекламы сайты не работают.


Если посмотреть на детали этих доменов, в целом ничего такого уж криминального не замечаешь. Ни фишинга, ни распространения вредоносного кода, ни наличия C&C-составляющей.


Но вот дальше интереснее. Все эти домены, принадлежащие разным ООО (а я быстренько проверил владельцев фирм, которые стоят за этими доменами), "висят" на одном IP-адресе - 94[.]130[.]71[.]230. 


Мало того, многие домены еще и начали свою активность примерно в одно и тоже время.


Начинаешь просматривать, кому принадлежат все эти ООО, которые, согласно рекламе, продают медицинские маски, так нужные гражданам в условиях пандемии? И что оказывается? На сайтах обычно нет никаких контактов. Ни телефонов, ни e-mail. И это у электронного магазина? Во-вторых, многие из проанализированных ООО имеют недостоверные адреса, находятся в процессе ликвидации, у кого-то приостановлены операции по счетам. То есть речь идет явно не о каком-то налаженном легальном бизнесе, который решил, несмотря на то, что у многих в качестве основной деятельности указана торговля продуктами питания, галантереей и т.п., помочь людям. А вспоминая свежую историю на Хабре про OSINT одного из мошенников, который тоже "торговал" масками, понимаешь, что и примеры выше тоже, скорее всего, являются мошенническими и выманивают деньги желающих купить медицинские товары для борьбы с COVID-19.

Ну а причем тут ИБ, - спросите вы. Это же тема для экономической безопасности (проверка контрагентов) или для правоохранительных органов и организаций, которые занимаются чисткой Интернета, разделегированием доменов и т.п. Отчасти, да. Но и к ИБ данная тема имеет прямое отношение.

Во-первых, иногда, отсутствие явных связей между различными ООО, которые не показывают специализированные сервисы типа Спарка и т.п. А вот анализ инфраструктуры доменов и сайтов, общие AS, IP, e-mail владельцев, даты и время создания и т.п. показывает явную связь между ресурсами. И помочь в этом может именно ИБ, обладающая соответствующим инструментарием.

Во-вторых, мы видим, что ссылки на явно мошеннические ресурсы рекламируются на таком солидном и активно посещаемом сайте, как РБК. И проблема тут не в РБК, который неправильно было бы обвинять в способствовании деятельности мошенников. Проблема в том, как устроенная баннерная реклама. Мошенники выкупают показы на сайтах, участвующих в баннерном обмене. И дальше их реклама может быть показана на РБК, на Mail.ru, на Анекдотах, на hh.ru и т.п. И посколько вы доверяете этим сайтам, подспудно вы, а точнее ваши пользователи, будут доверять и рекламе на них. Один клик и пользователь заражен. Об этом стоит говорить в рассылках по повышению осведомленности, чтобы пользователи понимали нюансы. Кроме того, стоит им напомнить, что присутствие в названии сайта знакомых слов - ozon, sberbank, zoom, facebook и т.п. еще не означает, что владельцы этих торговых марок имеют хоть какое-то отношение к таким сайтам. Пример с ozonrf[.]ru выше только демонстрирует это.

В-третьих, вы скорее всего не вносите домен www.rbc.ru в черный список на своем прокси. А значит, что пользователь увидит все, что подгружается на страницы РБК или иного разрешенного сайта во время захода на них с помощью браузера. Загружаются в том числе и ссылки на вредоносные ресурсы :-( Поэтому, с точки зрения мониторинга Web-трафика, стоит ориентироваться не на технологии, работающие по принципу белых/черных списков, а на что-то более продвинутое. Например, есть решения, которые анализируют на лету посещаемые страницы и вырезают оттуда все вредоносное и опасное, заново пересобирая страницу уже в безопасном формате.

Ну и в-четвертых. Тема коронавируса сейчас очень актуальна и поэтому она стала №1 у кибермошенников (я на Хабре уже писал про это). Поэтому стоит в программу повышения осведомленности включить актуальные примеры, которые сейчас у всех на устах, чтобы пользователи понимали, как их могут развести киберпреступники.

А в заключение сделаю некоторый прогноз о том, какие темы станут популярными у кибермошенников в самое ближайшее время:

  • Ресурсы/приложения, генерящие код/пропуск для проезда в режиме самоизоляции. Учитывая, что большинство государственных ИТ-архитекторов и программистов не рассчитывали на пиковые нагрузки при посещениях гражданами своих ресурсов, то они, по понятной причине, не справились с нагрузкой и постоянно недоступны. На этом фоне родится предложение по созданию сайтов или мобильных приложений, которые будут генерить цифровые пропуска. Это будет либо за деньги, либо сайты/приложения будут красть информацию пользователей.
  • Ресурсы/рассылки для пользователей сервисов видео- и теле-конференций. Вам будут приходить письма, что используемый вами сервис не справляется с нагрузкой и вам надо скачать либо обновленное приложение, либо проверить пропускную способность перед подключением к конференции.
  • Ресурсы/рассылки/приложения для онлайн обучения или иного времяпрепровождения. Оно и понятно - люди скучают и хотят тратить время с пользой или без оной. Поэтому использование темы повышения квалификации или развлечений онлайн будет на коне.
  • Ссылки на новые VPN/RDP-шлюзы. Тут тоже понятно - при удаленной работе сотрудники подключаются именно через них и вполне логично, что злоумышленники будут рассылать письма с адресами новых, менее загруженных точек подключения.
  • Для России неактуально, но на Западе уже идет рост рассылок по теме психологического и физического здоровья. В условиях существенной смены режима у многих людей начинаются расстройства психики, стресс, обжираловка и другие излишества. А помочь бороться с этим могут различные программы оздоровления, которые также проводятся онлайн. Злоумышленники уже начинают маскироваться под такие рассылки.