ИБ и рекламируемые на солидных ресурсах мошеннические сайты, "торгующие" медицинскими масками

ИБ и рекламируемые на солидных ресурсах мошеннические сайты, "торгующие" медицинскими масками
На Хабре я уже писал о том, как мошенники Рунета отреагировали на коронавирус. Сейчас я бы хотел рассмотреть эту историю, но уже с другими примерами, немного с другой точки зрения. Иногда просматривая новости на различных солидных ресурсах, натыкаешься на рекламу, которую обычно пропускаешь уже на автомате. Но в этот раз глаз уцепился за два рекламных объявления, которые я увидел на мобильной версии сайта РБК (левых две картинки). Если приглядеться, то мы увидим, что они ведут на схожие по названию сайты - marketsshoop[.]ru и marketshoop[.]ru. Третья картинка - это реклама уже в стационарной версии какого-то популярного сайта. Эта ссылка ведет на ozonrf[.]ru (сразу скажу, что никакого отношения к Интернет-магазину "Озон" этот домен не имеет).

свежую историю на Хабре про OSINT одного из мошенников, который тоже "торговал" масками, понимаешь, что и примеры выше тоже, скорее всего, являются мошенническими и выманивают деньги желающих купить медицинские товары для борьбы с COVID-19.

Ну а причем тут ИБ, - спросите вы. Это же тема для экономической безопасности (проверка контрагентов) или для правоохранительных органов и организаций, которые занимаются чисткой Интернета, разделегированием доменов и т.п. Отчасти, да. Но и к ИБ данная тема имеет прямое отношение.

Во-первых, иногда, отсутствие явных связей между различными ООО, которые не показывают специализированные сервисы типа Спарка и т.п. А вот анализ инфраструктуры доменов и сайтов, общие AS, IP, e-mail владельцев, даты и время создания и т.п. показывает явную связь между ресурсами. И помочь в этом может именно ИБ, обладающая соответствующим инструментарием.

Во-вторых, мы видим, что ссылки на явно мошеннические ресурсы рекламируются на таком солидном и активно посещаемом сайте, как РБК. И проблема тут не в РБК, который неправильно было бы обвинять в способствовании деятельности мошенников. Проблема в том, как устроенная баннерная реклама. Мошенники выкупают показы на сайтах, участвующих в баннерном обмене. И дальше их реклама может быть показана на РБК, на Mail.ru, на Анекдотах, на hh.ru и т.п. И посколько вы доверяете этим сайтам, подспудно вы, а точнее ваши пользователи, будут доверять и рекламе на них. Один клик и пользователь заражен. Об этом стоит говорить в рассылках по повышению осведомленности, чтобы пользователи понимали нюансы. Кроме того, стоит им напомнить, что присутствие в названии сайта знакомых слов - ozon, sberbank, zoom, facebook и т.п. еще не означает, что владельцы этих торговых марок имеют хоть какое-то отношение к таким сайтам. Пример с ozonrf[.]ru выше только демонстрирует это.

В-третьих, вы скорее всего не вносите домен www.rbc.ru в черный список на своем прокси. А значит, что пользователь увидит все, что подгружается на страницы РБК или иного разрешенного сайта во время захода на них с помощью браузера. Загружаются в том числе и ссылки на вредоносные ресурсы :-( Поэтому, с точки зрения мониторинга Web-трафика, стоит ориентироваться не на технологии, работающие по принципу белых/черных списков, а на что-то более продвинутое. Например, есть решения, которые анализируют на лету посещаемые страницы и вырезают оттуда все вредоносное и опасное, заново пересобирая страницу уже в безопасном формате.

Ну и в-четвертых. Тема коронавируса сейчас очень актуальна и поэтому она стала №1 у кибермошенников (я на Хабре уже писал про это). Поэтому стоит в программу повышения осведомленности включить актуальные примеры, которые сейчас у всех на устах, чтобы пользователи понимали, как их могут развести киберпреступники.

А в заключение сделаю некоторый прогноз о том, какие темы станут популярными у кибермошенников в самое ближайшее время:

  • Ресурсы/приложения, генерящие код/пропуск для проезда в режиме самоизоляции. Учитывая, что большинство государственных ИТ-архитекторов и программистов не рассчитывали на пиковые нагрузки при посещениях гражданами своих ресурсов, то они, по понятной причине, не справились с нагрузкой и постоянно недоступны. На этом фоне родится предложение по созданию сайтов или мобильных приложений, которые будут генерить цифровые пропуска. Это будет либо за деньги, либо сайты/приложения будут красть информацию пользователей.
  • Ресурсы/рассылки для пользователей сервисов видео- и теле-конференций. Вам будут приходить письма, что используемый вами сервис не справляется с нагрузкой и вам надо скачать либо обновленное приложение, либо проверить пропускную способность перед подключением к конференции.
  • Ресурсы/рассылки/приложения для онлайн обучения или иного времяпрепровождения. Оно и понятно - люди скучают и хотят тратить время с пользой или без оной. Поэтому использование темы повышения квалификации или развлечений онлайн будет на коне.
  • Ссылки на новые VPN/RDP-шлюзы. Тут тоже понятно - при удаленной работе сотрудники подключаются именно через них и вполне логично, что злоумышленники будут рассылать письма с адресами новых, менее загруженных точек подключения.
  • Для России неактуально, но на Западе уже идет рост рассылок по теме психологического и физического здоровья. В условиях существенной смены режима у многих людей начинаются расстройства психики, стресс, обжираловка и другие излишества. А помочь бороться с этим могут различные программы оздоровления, которые также проводятся онлайн. Злоумышленники уже начинают маскироваться под такие рассылки.
Alt text