Атака клонов

[Skyment]

Сегодня урожайный день на темы:

Цитата:

Атака клонов: как работают схемы с фейковыми сайтами «Роснефти» и других крупных компаний.
Злоумышленники создают копии сайтов российских корпораций, чтобы заключать контракты от их имени. Средний ущерб от такой атаки — от 1,5 млн рублей
На сайте производителя минеральных удобрений «Менделеевсказот» появилась тревожная надпись: «Осторожно мошенники!». Посетителей предупреждают о случаях обмана: неизвестные представляются сотрудниками подразделений компаний «Аммоний» или «Менделеевсказот» и предлагают удобрения по низким ценам — якобы так с ними расплатились деловые партнеры за долги. Мошенники могут звонить с несуществующих телефонных номеров компании, представляться псевдодилерами или использовать сайты-клоны — полную копию официального сайта реальной компании, говорится в сообщении.

Вся штука в том, что ресурс, на котором размещено это грозное предупреждение, сам является фейком. mendeleevscazot.ru — сайт-клон, а официальный сайт выглядит так: mendeleevskazot.ru. Разница в одну букву, но невнимательность может обернуться для посетителей-клиентов финансовыми потерями.
Сейчас Group-IB наблюдает очередную масштабную атаку на ведущие российские бренды — производителей минеральных удобрений. Мошенники активизировались перед началом посевной, отмечают отраслевые эксперты. Резкий рост посевов в России, в том числе пшеницы и сахарной свеклы, вызвал двукратное повышение спроса на удобрения с 2002 года. По оценке генерального директора «Еврохима» Дмитрия Стрежнева, только за последние два сезона фермеры из-за мошенников потеряли несколько миллиардов рублей.

Полцарства за домен

Недавно мы обнаружили фейковый ресурс eurochem-novomoskovsk.com — мошенники скопировали сайт нашего клиента компании «Еврохим» и выдавали себя за ее сотрудников. Сайт-клон появился в феврале 2017 года и был зарегистрирован на частное лицо. Параллельно мы выяснили, что в декабре 2016 года в руках злоумышленников оказалось официальное доменное имя eurochem-novomoskovsk.ru, у которого закончился срок регистрации.
...

Далее по ссылке: http://www.forbes.ru/biznes/342465-a...kovymi-saytami

По Евразу такая же фигня была. Клон сайта и реквизиты другой компании-клона были

[Skyment]

Цитата:

Сообщение от Диман 58

По Евразу такая же фигня была.

Ну-у... Наше ПО ( http://www.group-ib.ru/intelligence.html ) позволяет реализовывать мероприятия по раннему предупреждению (выявлению) таких клонов.
В контексте статьи, например:

Цитата:

После блокировки этих ресурсов мы получили письмо от ведущего специалиста отдела продаж компании, которая просила опять «включить сайт». Вместе с «Еврохимом» мы проверили отправителя: такая сотрудница в компании действительно есть, но никаких писем в Group-IB она не отправляла.

Мошенники не только клонировали сайт компании, но и использовали специальную программу, которая подменяла адрес отправителя в электронной почте. В ходе расследования мы установили владельца доменов и выяснили, что на него были зарегистрированы еще несколько ресурсов, связанных с производителями удобрений, предприятий химической промышленности и ТЭК. И все они оказались фейками: amonni.ru, hcsds-azot.ru, rosagrotrayd.ru, titanomsk.ru, tender-rosneft.ru, kyazot.ru, tolyatiazot.ru, mendeleevscazot.ru

Практически все они были зарегистрированы в один день, 17 января 2017 года, на частное лицо. Некоторые сайты полностью копировали оригинальный ресурс компании — логотип, разделы, контент. Отличалось только доменное имя. Например, мошеннический ресурс: kyazot.ru

Борьба с клонами как и с встраивающимися посредниками возможна только путем независимого выхода на предполагаемого контрагента и проверки всех используемых способов связи, а при больших сумма с обязательным выездом на место.)))

[Skyment]

Цитата:

Сообщение от Диман 58

Борьба с клонами как и с встраивающимися посредниками возможна только путем независимого выхода на предполагаемого контрагента

Нет. При должном мониторинге это можно делать превентивно и довольно эффективно. Зачем доводить ситуацию до момента, когда к мошенникам обратиться потенциальный клиент, клюнувший на задемпенгованные цены, обработанный "социальной инженерией" и втюхавший неизвестно куда лям-другой-третий?...
Соответственно это фирма теряет такого потенциального клиента.

Цитата:

Сообщение от Диман 58

а при больших сумма с обязательным выездом на место.)))

Поцеловать забор?...

Цитата:

Сообщение от Skyment

Поцеловать забор?...

Да. И сделать обоснованный отказ.

[SVV]

Цитата:

Сообщение от Диман 58

По Евразу такая же фигня была. Клон сайта и реквизиты другой компании-клона были

Диман, цель создания и использования установлена?

[Skyment]

На тему "клонов": https://habrahabr.ru/post/326382/

Цитата:

Подделываем письма от крупнейших российских банков
Информационная безопасность*
Однажды я просматривал электронную почту и наткнулся на спам от БинБанка. Это было особенно странно, так как мне предлагали не банковские услуги, а что-то на уровне «Доход 70000 рублей за день». Похоже, спамеры начали отправлять письма от имени разных компаний (вероятно, чтобы обходить какие-то фильтры). Если вам интересно почитать о подделке писем от крупнейших российских банков и полном игнорировании проблем со стороны службы безопасности, то добро пожаловать под кат.
Для начала немного теории. Электронная почта — это очень удобная вещь, обладающая достаточно серьезным недостатком: письмо очень легко подделать. Вы не всегда можете быть уверены, что это письмо отправил банк, а не какой-то злой хакер, который хочет украсть ваши деньги. Для защиты от этого были придуманы такие вещи, как SPF и DMARC (о них уже много раз писали на Хабре: раз, два и три). Если описывать эти технологии коротко, то они позволяют сказать, кто может отправлять письма от этого домена и что надо делать с поддельными письмами.

Подделка писем при правильном использовании может быть весьма опасной: подумайте, как отреагирует человек, если ему придет не тупой спам, а достаточно адекватное письмо с домена банка с просьбой сменить пароль или с рекламой нового банковского сервиса, на котором можно авторизоваться с помощью основного аккаунта и получить кучу бонусов? Я уверен, что многие поверят этому письму и что-то сделают.

Получается, что БинБанк забыл о такой проблеме и оставил своих пользователей под угрозой. Я немедленно написал в техподдержку письмо, где рассказал об этом. Через некоторое время я получил вежливый ответ от банка, в котором он извиняется за то, что я испытал неудобства.

Когда я понял, что техподдержка вообще не заинтересована в этом, я решил посмотреть, какие еще банки подвержены такой проблеме.
...

Как понятно, если банки не особо утруждают себя безопасностью в данном направлении, то уж что говорить про "простые" фирмы...