Практический опыт борьбы с фишингом

Практический опыт борьбы с фишингом

Я работаю в очень известной компании и периодически сталкиваюсь с мошенниками, пытающимися подделывать наш сайт (т.н. фишинг). В этой заметке я постараюсь поделиться своими наработками о том, как эффективнее с ними бороться.

Автор: Антон К.

Я работаю в очень известной компании и периодически сталкиваюсь с мошенниками, пытающимися подделывать наш сайт (т.н. фишинг). В этой заметке я постараюсь поделиться своими наработками о том, как эффективнее с ними бороться.

Суть аферы очень проста – мошенники копируют внешний вид нашего сайта (либо открывают его внутри фрейма), размещают по похожему URL-адресу и рекламируют в поисковиках. Платное объявление позволяет фальшивому сайту находиться в поиске выше настоящего, а текст про «официальный сайт компании» еще больше сбивает с толка невнимательных пользователей. При переходе на поддельный сайт на экран выводится всплывающее сообщение о выигрыше подарочного сертификата, приза, etc. и предлагается ввести номер своего мобильного телефона. После указания номера на него приходит код подтверждения, при вводе которого в форму на пользователя оказывается оформлена не нужная ему «подписка», ежедневно списывающая со счета порядка 20 рублей.

При обнаружении таких ситуаций (раньше мы узнавали об этом от нашего колл-центра, куда начинали звонить обманутые посетители), как мне кажется, первым делом следует написать оповещение на своем сайте. Пока еще непонятно, насколько затянется решение, вы известите окружающих о том, что вы в курсе проблемы и частично снимите с себя обвинения.

Далее выясняем, откуда пользователи попадают на фальшивый сайт – обычно они сами могут это рассказать, но несложно и проверить поисковики по типовым запросам. Обнаружив - сразу же набираем по телефону тех. поддержку, телефон Яндекс.Директа (812) 633-36-00, доб. 2480, Google.Adwords 8 (800) 555-03-46, и примерно в течение часа рекламная кампания блокируется.

Ограничиваться только этим не стоит, нужно закрывать и сам фальшивый сайт, иначе завтра объявление появится вновь. Для этого, выяснив через сервис whois (например, на http://www.reg.ru/whois/) координаты хостера и регистратора домена, отправить им по жалобе на ящик abuse. Регистратор тут вообщем-то ни при чем и не несет ответственность за информацию, размещенную по зарегистрированному им URL. Однако на практике я встречал ответственных лиц, которые приостанавливали действие домена, обнаружив мошенничество. Разумеется, возможна и обратная ситуация, когда хостер потребует письменного заявления, будет рассматривать его в течение 3х дней и вообще всячески открещиваться. Мне кажется, что приличная компания, следящая за своим имиджем, не должна так поступать. Кроме того, в свете последних законов об интернет-цензуре, можно пообещать написать официальную жалобу в Роскомнадзор, «такие-то такие-то своим бездействием способствуют совершению деяний, содержащих признаки преступления». На практике это вряд ли ускорит решение проблемы, но может добавить головной боли нерадивому хостеру.

Разумеется, есть смысл изучить код фальшивого сайта. Зачастую внешние элементы (графика, html-код) и движок (java-скрипты, выводящие фальшивые объявления) располагаются на разных площадках, что удваивает возможность их закрыть.

Отдельно нужно упомянуть абузоустойчивые хостинги. Да, действительно, если вы столкнулись с ними – писать жалобы бесполезно. Утешением может быть то, что мошеннические проекты недолговечны и не слишком прибыльны, на покупку дорогого хостинга мошенники идут редко. Достаточно перекрыть кислород в одном месте (в цепочке реклама – фальшивый сайт – выручка с смс), чтобы денежный поток прекратился.

Пару слов о том, на что по моему опыту не стоит тратить время. Увы, нет большого смысла обращаться к владельцам коротких номеров. Например, мне ни разу не удалось дозвониться по указанному на сайте номеру поддержки абонентов одного из крупнейших контент-провайдеров, и судя по прочитанному, я отнюдь не одинок. Очень боюсь обидеть представителей этого ценного бизнеса, но мне кажется, что значительная часть их дохода формируется как раз за счет мобильного мошенничества, ведь прочие услуги типа «скачай клевый рингтон» давно уже непопулярны. Формально они абсолютно непричастны, и лучшее чего удастся добиться – это устного обещания «во всем разобраться». Никак не помогут в данной ситуации Лига Безопасного Интернета http://www.ligainternet.ru или Центр Безопасного Интернета http://www.saferunet.ru , вы только получите от них вежливую отписку. Возможно, ценным окажется сайт http://antiphishing.ru , но пока у меня не было случая это проверить. И совершенно бесполезное занятие – требовать от любого участника цепочки выдачи ФИО мошенников, это возможно только по решению суда. Хотя если вам хватит упорства возбудить уголовное дело (ст. 159 УК «Мошенничество», а так же ст. 180 УК Незаконное использование товарного знака), то резонанс от такого дела может надолго отбить желание подделывать сайты.

На досуге можно погуглить слова «арбитраж трафика» – это жаргонное название методов заработка в интернете, основанных на разнице цены массового привлечения пользователей и дохода с (зачастую обманных) действий, к которым их подталкивают. Несложно даже найти «партнерские программы», предоставляющие полный набор скриптов для подделки чужого сайта. Впрочем, сильно погружаться в это неинтересно, т.к. любому неглупому человеку гораздо эффективнее применять свои знания в другом направлении

Ну и самое интересное – что сделать наперед, чтобы избежать такого рода ситуаций. Исключить их полностью не получится, но можно постараться сделать «бизнес» невыгодным. Мошенники тратят свои ресурсы на подготовку сайта, оплату услуг хостинга, доменного имени, рекламы (тут сложностей добавляет Гугл, раздающий 1000-рублевые сертификаты AdWords всем желающим https://services.google.com/fb/forms/rupromo1/) и если проект будет оперативно прикрыт, то затраты не успеют «отбиться». Мне в этом очень помогают скрипт на Powershell (см приложение 1), отслеживающих появление рекламы по ключевым словам в поисковиках. Опять же, этой информации очень рады в нашем отделе Маркетинга, т.к. быстрее узнают о действиях конкурентов.

С уважением,

Антон К


Приложение 1

$ie = New-Object -COMObject InternetExplorer.Application
#$ie.visible = $true
$request1 = ' http://yandex.ru/yandsearch?text=наша+компания&lr=2'
$request4 = 'http://www.google.ru/search?q=наша+компания’


$ie.Navigate($request1)
While ($ie.Busy) { Start-Sleep -Milliseconds 400 }
$result1 = $ie.document.documentElement.innertext | select-string -pattern "direct.yandex.ru"
$ie.Navigate($request4)
While ($ie.Busy) { Start-Sleep -Milliseconds 400 }
$result4 = $ie.document.documentElement.innertext | select-string -pattern "Реклама", "Объявление"

$ie.Quit()

$EmailFrom = “sitemonitor@server.local”
$EmailTo = “my@adress.local”
$Subject = “Найдена реклама в поисковиках”
$Body1 = “Скрипт обнаружил рекламное обьявление в Яндексе по запросу ” + $request1
$Body4 = “Скрипт обнаружил рекламное обьявление в Гугле по запросу ” + $request4
$SmtpServer = “smtp.server.local”
$smtp = New-Object net.mail.smtpclient($SmtpServer)
if ($result1) {$smtp.Send($EmailFrom, $EmailTo, $Subject, $Body1)}
if ($result4) {$smtp.Send($EmailFrom, $EmailTo, $Subject, $Body4)}

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену