Искусство маскировки. Как мошенники прячут свои сайты в интернете

Содержание статьи

• Похожее написание
• Поддомен
• Зона комфорта
• Паразиты
• Соседи
• Внутрянка
• Клоакинг
• Выводы

Ана­лизи­руя мошен­ничес­кие сай­ты, порой диву даешь­ся изоб­ретатель­нос­ти жуликов. То пиц­цу тебе пред­лага­ют бес­плат­ную, то мор­генко­ины… Встре­чают­ся и ресур­сы, о которых с ходу и не ска­жешь, что они мошен­ничес­кие: эти сай­ты прос­то собира­ют кон­такты, что­бы потом, сфор­мировав базу, сра­зу всех раз­вести. Одна­ко преж­де чем хорошень­ко изу­чить соз­данный интернет‑жулика­ми сайт, сна­чала надо его най­ти. О методах поис­ка и о том, как мошен­ники пря­чут свои ресур­сы в сети, мы сей­час и погово­рим.

Бы­вает, в ком­панию или служ­бу бан­ка, занима­ющуюся интернет‑безопас­ностью, пос­тупа­ет жалоба на тот или иной сайт, что и ста­новит­ся поводом к рас­сле­дова­нию. Этот слу­чай мы рас­смат­ривать не будем, а допус­тим, что ИБ‑шник за­хотел получить пре­мию сам решил най­ти вре­донос­ные сай­ты.

Са­мый прос­той спо­соб вклю­чает сле­дующие нехит­рые дей­ствия:

• ска­чива­ем спи­сок зарегис­три­рован­ных за пос­ледние нес­коль­ко месяцев доменов в зоне .ru c сай­та Domains.ihead.ru (в спис­ке перечис­лены домены, зарегис­три­рован­ные за пос­ледние три месяца);
• ищем домены, похожие на офи­циаль­ные домены круп­ных ком­паний и бан­ков;
• за­ходим на сайт и смот­рим, что же там находит­ся;
• ес­ли обна­ружен мошен­ничес­кий ресурс, пода­ем заяв­ку на бло­киров­ку домена регис­тра­тору, жалу­емся хос­теру или нас­тра­иваем меж­сетевой экран для бло­киров­ки подоб­ных ресур­сов в собс­твен­ном перимет­ре.

Бо­лее прод­винутый вари­ант — исполь­зовать самодель­ные или покуп­ные ска­неры, которые будут бороз­дить прос­торы интерне­та в авто­мати­чес­ком режиме. Вро­де все прос­то, одна­ко опи­сан­ный метод сра­баты­вает далеко не всег­да. Почему же най­ти мошен­ничес­кий сайт порой быва­ет нелег­ко? При­чин обыч­но нес­коль­ко.

Похожее написание

Ес­ли, нап­ример, из спис­ка всех доменов отоб­рать домены со сло­вом gaz, то домен gaazprom.ru ты уже не обна­ружишь, а вот ути­лита Dnstwist из Kali поможет его най­ти. Еще мож­но исполь­зовать онлайн‑сер­висы Dnstwist или Dnstwister.report.

Dnstwist генери­рует шесть раз­ных типов написа­ния основно­го домена и про­веря­ет, какие из них зарегис­три­рова­ны. Нап­ример, для офи­циаль­ного gazprom.ru было сге­нери­рова­но и про­вере­но 2270 вари­антов. 38 доменов ока­зались зарегис­три­рова­ны.

Ре­зуль­таты про­вер­ки домена gazprom.ru в сер­висе dnstwist.it

Те­перь давай‑ка про­верим, что же все‑таки находит­ся на этом самом gaazprom.ru.

При­мер содер­жимого мошен­ничес­кого сай­та. 14 сво­бод­ных мест, надо брать! 

Поддомен

Тут все прос­то. Если ска­ниро­вать сайт openstockinvest.cyou, то мы ничего не уви­дим. А если зай­ти на под­домен hххp://bussiness.openstockinvest.cyou, то вне­зап­но обна­ружим мошен­ничес­кий лен­динг.

Мо­шен­ничес­кий сайт на под­домене 

Зона комфорта

Час­то поиск мошен­ничес­ких сай­тов огра­ничи­вает­ся лишь про­вер­кой доменов в зоне ru. Если так делать, то ты упус­тишь сай­ты, зарегис­три­рован­ные еще в 1555 домен­ных зонах. Тот же Dnstwist генери­рует домены не во всех воз­можных зонах, что уво­дит из нашего поля зре­ния потен­циаль­ный улов.

Источник: xakep.ru