Szukasz strony banku w Google? Lepiej dzisiaj uważaj, w co klikasz

dodał 22 czerwca 2020 o 20:03 w kategorii Info  z tagami:
Szukasz strony banku w Google? Lepiej dzisiaj uważaj, w co klikasz

Choć ta sztuczka przestępców jest nam dobrze znana, to nie widzieliśmy jej na żywo od dobrych 2-3 lat. Złodzieje przejmują ruch klientów banków za pomocą reklam kupionych w serwisie Google – kto nie pamięta adresu banku, ten może wpaść.

Kupno reklam w Google nie jest nowością dla złodziei. Widzieliśmy już, jak reklamowali w Google swoje fałszywe sklepy, widzieliśmy, jak dzięki reklamom Google pozyskiwali klientów fałszywej aplikacji bankowości internetowej umieszczonej w sklepie Google, ale od paru lat nie widzieliśmy reklam fałszywych stron banków. Niestety wróciły.

Adres lepiej zapamiętać

Internauci, którzy nie potrafią zapamiętać prawdziwych adresów stron logowania swoich banków, mają zwyczaj wpisywać je w Google, licząc na to, że pierwsza odpowiedź zabierze ich tam, gdzie trzeba. Niestety Google od wielu lat zaciera różnice w wyglądzie linków sponsorowanych i zwykłych, dzięki czemu nie jest trudno nie zwrócić uwagi na to, że klikamy w reklamę złodzieja.

Link złodzieja

Jak widać, pierwszy link nie prowadzi do prawidłowej strony, ponieważ jest to reklama wykupiona przez złodzieja. Zwróćcie też uwagę na prawidłowy link poniżej – trudno się dziwić, że klienci wpisują zapytanie do Google, zamiast adresu do pasku adresu.

Nie tylko Idea Bank znalazł się na celowniku złodziei. Trafiliśmy także na Getin Bank:

Reklama fałszywej strony Getinu

Co ciekawe, reklamy pojawiają się także przy zapytaniach o niektóre inne banki:

Reklama po zapytaniu o Aliora

Czy to błąd przestępców, dziwne algorytmy Google czy przypadek? Nie wiemy, ale taka reklama złodziei akurat nie ma sensu przy tym zapytaniu.

Co dzieje się, gdy ofiara kliknie w link? To zależy, ponieważ pierwszy serwer decyduje o jej dalszym losie. Według naszych eksperymentów decyzja serwera oparta jest na następujących parametrach:

  • czy ofiara przyszła z wyszukiwarki Google,
  • czy ofiara była wcześniej na tej stronie,
  • czy ofiara jest z Polski,
  • czy ofiara używa komputera czy telefonu.

Jeżeli konfiguracja parametrów jest „prawidłowa”, to ofiara otrzymuje fałszywą stronę banku, serwowaną z innej domeny niż ta z reklamy. Tak ciąg zdarzeń wyglądał w przypadku Idea Banku:

Pytanie o login
Pytanie o hasło
Oczekiwanie w nieskończoność

W przypadku Getinu zaszliśmy nieco dalej:

Pytanie o login
Pytanie o hasło
Czekanie…
Pytanie o kod SMS

Przypuszczamy, że etap „oczekiwania” to moment, gdy człowiek zarządzający atakiem patrzy, czy nasze poświadczenia wyglądają OK. W przypadku Getinu podaliśmy bardziej „wiarygodne”, dzięki czemu przeszliśmy o jeden etap dalej.

Co ciekawe, według listy domen hostowanych na tych samych adresach IP celem ataku był lub będzie też BNP Paribas. Oto domeny „pierwszej fazy” – adresy z reklam:

getin-secure-bank.xyz
secure-bank-getin.xyz
secure-getinbank.xyz
idea-bank.xyz
bank-idea.xyz
ideabank-login.xyz
cloud-idea-bank.xyz
idea-cloud.xyz
logowanie-bnpparibas.xyz
paribas-logowanie.xyz
paribas-login.xyz
paribas-online.xyz

Oto adresy domen „drugiej fazy”, czyli zawierające fałszywe witryny banków:

cloud-ideabank.at
cloud-idea-sso.at
sso-cloud-ideabank.at
idea-logowanie.at
ideabank-logowanie.at
getinbank-secure.at
secure-getin-bank.at
secure-getin.pl
secure-getinbank.at
login-bnpparibas.at
logowanie-bnpparibas.at
logowanie-paribas.at
bnpparibas-logowanie.at
bnpparibas-login.at
paribas-logowanie.at

Nie znaleźliśmy do tej pory śladów wskazujących na analogiczne ataki prowadzone w tej chwili przeciwko klientom innych banków niż te trzy wymienione powyżej. Co ciekawe, trafiliśmy za to na bardzo podobną domenę, utrzymywaną w infrastrukturze tego samego przestępcy, o adresie

sso-cloud-ideabank.eu

z kwietnia tego roku. Ona z kolei zaprowadziła nas do całej serii dziwnie podobnych adresów:

banking.getin-secure.com.pl
getin-secure.com.pl
login-paribas-planet.eu
login-paribas-planet.info
login-paribas.at
login-paribas.eu
login-planet-paribas.eu
login-planet-paribas.info
sso-cloud-ideabank.eu

Biorąc pod uwagę zbieżność sposobu konstruowania domen i celowania w te same trzy banki co dzisiaj, możemy podejrzewać, że analogiczna kampania mogła mieć miejsce już wcześniej, lecz przeszła bez większego rozgłosu medialnego.

Aktualizacja 21:00

Dzięki wskazówkom jednego z czytelników znaleźliśmy także analogiczne domeny używane już w grudniu zeszłego roku:

banking.getin-secure.com.pl
biznesplanet.planet-secure.com.pl
idecloud.com.pl
noblebank.getin-secure.com.pl
planet-secure.com.pl
sso.cloud.idecloud.com.pl

Podsumowanie

Wbijcie do głowy swoim bliskim i rodzicom, że adres banku muszą wpisywać samodzielnie lub z własnoręcznie utworzonej zakładki (nie, złodzieje nie podmieniają zakładek). Znamy ludzi, którzy chcąc wejść w Google, wpisują Google w Google i wchodzą (i nie, internet się nie zawiesza, sprawdzaliśmy). Nie wszystko jednak warto tam wpisywać. A jeśli chcecie, by ktoś to dobitnie wytłumaczył waszym bliskim lub pracownikom, to mamy gotowe 25 lekcji wideo poświęconych bezpieczeństwu online – w tym osobną tylko o rozpoznawaniu fałszywych stron banków poprowadzoną tak, by zrozumiał nie tylko informatyk.

Kod rabatowy
Z kodem BijZlodzieja dostaniecie 15% rabatu.

A jeśli chcecie wiedzieć, jak zbierać te wszystkie domeny i przechodzić dalej w formularzach złodziei, to wyosintujcie sobie nasz formularz zapisu na powiadomienia o kursie OSINT-u :)