Читаем Особенности киберпреступлений в России: инструменты нападения и защиты информации полностью

} else {

if($invalid_file!= "")

{

$file = fopen($invalid_file, 'a'); fwrite($file, "$login@$domain:$pass\r\n"); fclose($file);

}

В результате применения функции проверки вводимых пользователем данных движок позволяет сортировать получаемые пароли по двум файлам: подтвержденные и ошибочные. На показанном примере подтвержденные логины и пароли записываются в файл stoun.php, а те, что проверку не прошли, записываются в inv.php.

И где теперь те самые советчики, которые рекомендуют вводить недостоверные пароли для проверки, фэйк перед тобой или нет?

Интересен факт, что при расследовании факта несанкционированного получения пароля скриптом такого типа (включающим в себя автоматическую проверку) в истории авторизаций электронного ящика остаются IP-адрес сервера, на котором размещен фишинг-движок, и точное время инцидента — неправомерного копирования информации.

Также в истории подключений останутся данные, передаваемые фишинг-движком при соединении с почтовым сервером, в нашем случае это такой «отпечаток»:

User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8 (.NET CLR 3.5.30729)

К переменной User-Agent еще вернемся. На этом с моментами, которые могут показаться технически менее подкованному читателю сложными, будет покончено. Приведенная техническая часть будет полезна при проведении исследований и для глубокого понимания процессов фишинговых сайтов.

Покончив с технической частью, можно рассмотреть еще несколько вариантов фэйков для формирования картины ассортимента и гибкости фишинг-атак.

Фишинг-движок изнутри. Пример 4

Рассмотрим еще один движок, имитирующий просмотр пользователем присланного файла под именем otchet.jpeg.

На этот раз злоумышленники использовали дизайн интерфейса другого популярного почтового сервиса[23].

Так же, как и во втором примере, при обращении к якобы присланному файлу пользователь наблюдает некий процесс то ли загрузки, то ли подключения (см. рис. 1.35).

Рис. 1.35. Процесс обращения к вложенному файлу

Как и задумано злоумышленниками, попытка просмотра пользователем присланного файла прерывается в связи с «обрывом сессии» и необходимостью повторной авторизации, о чем красноречиво сообщает интерфейс (см. рис. 1.36).

Рис. 1.36.Интерфейс фэйка: необходимость повторной авторизации

Код имитации открытия изображения выглядит следующим образом:

Можно отметить, что время подключения задается функцией setTimeout[24], и в зависимости от заданного значения пользователя определенное время будет развлекать анимированное изображение, представленное файлом loader.gif, процесса загрузки запрашиваемого файла.

Приводимые примеры демонстрируют возможности творческого применения несложных возможностей таких языков программирования, как PHP и JavaScript, в создании сценариев фишинг-движков.

Безусловно, приведенными примерами возможности не ограничиваются и всегда могут расширяться злоумышленниками с одной лишь только целью — предоставить пользователю достойное зрелище, при котором не будет возникать мыслей о символах в доменных именах.

Примеры интерфейсов

Не ограничивается фишинг и сферой применения онлайн-сервисов. Для демонстрации этого утверждения можно привести еще несколько изображений фэйков, попадавшихся автору в различные периоды времени.

Пример фишинг-движка, ведущего пользователя для скачивания присланного файла облако, — рис. 1.37.

Рис. 1.37.Интерфейс фэйка — облака

Пример фэйка, рекомендующего пользователю включение очень важной функции «Блокировки подозрительных IP» дан на рис. 1.38.

Рис. 1.38. Интерфейс фэйка «Блокировка подозрительных IP»

Интерфейс может говорить о сбое авторизации (рис. 1.39) или сообщать о восстановлении учетной записи (рис. 1.40)

Рис. 1.39.Интерфейс фэйка: сбой авторизации

Рис. 1.40.Интерфейс фэйка: восстановление учетной записи

Хочется еще привести пример очень старого, но остроумного вида фишинг-движка, имитирующего повторную активацию аккаунта из-за блокировки с «данными по инциденту», созданного под мобильные телефоны (рис. 1.41).

Рис. 1.41.Интерфейс фэйка: заблокирована попытка входа

Текст на странице фэйка сообщает пользователю, что к его аккаунту была совершена попытка несанкционированного входа, которая была заблокирована системой, чем была спасена неприкосновенность электронной почты пользователя. Для пущей убедительности приводится некий IP-адрес, с которого якобы была проведена атака. Видимо, создатель такого фэйка был в творческом расположении духа.