Читаем Особенности киберпреступлений в России: инструменты нападения и защиты информации полностью

Понятно, что движки злоумышленники с творческим подходом могут делать индивидуально под конкретного пользователя (см. рис. 1.42).

Рис. 1.42. Интерфейс фэйка: идентификация iCloud

При всей простоте, которая здесь была продемонстрирована выше, рассмотренные файлы являются элементами интернет-ресурсов и предназначены для неправомерного копирования компьютерной информации — паролей пользователей сервисов сети Интернет при размещении их на сервере.

Разобраться в них несложно, и понять основную схему их работы при анализе представленных примеров может каждый.

Такие фишинг-движки имитируют один из почтовых (или иных) сервисов, визуально повторяя интерфейс оригинального сервера. Когда пользователь вводит данные для авторизации — логин и пароль (или только пароль), скрипт (программа) такого сервера осуществляет копирование учетных данных пользователя и перенаправляет пользователя на оригинальный сервер, при этом для пользователя процесс копирования пароля осуществляется в скрытом режиме.

Доменные имена

Однако одного только движка недостаточно, требуется доменное имя. Для эффективного использования разработанных фишинг-движков злоумышленники регистрируют такие доменные имена, которые не должны бросаться в глаза, а в идеале должны выглядеть максимально похоже по написанию с наименованиями ресурсов, на которых размещена учетная запись жертвы (и под интерфейс которых был приготовлен фэйк).

Автор приведет примеры доменных имен, которые действительно успешно использовались злоумышленниками для фишинга:

qqoq.ru

gmaik.ru

qoooqle.ru

gogund.ru

qrnail.ru

qnrail.ru

gmaii.ru

qmlail.ru

gmali.ru

incup-cafe.ru

qmair.ru

gmarl.ru

gooqie.ru

qooqile.ru

iogin.ru

gnaii.ru

qnnail.ru

qooqin.ru

goonle.ru

yarcex.ru

qooqlie.ru

gogile.ru

maing.ru

qoonle.ru

gooole.ru

mgail.ru

gologe.ru

cgi-google.ru

cqooqle.ru

cgooqle.ru

vlewer.ru

cgi-qooqie.ru

cqi-qooqie.ru

qooiqle.ru

goolqe.ru

qoolge.ru

qoomle.ru

attachview.ru

gmlail.ru

liever.ru

qoigle.ru

gmaai.ru

qoqogle.ru

qologgie.ru

qoqoie.ru

goqole.ru

goqqle.ru

googile.ru

index-gmail.ru

gooqe.ru

gnali.ru

qoooqe.ru

qnall.ru

qnnai.ru

qooegl.ru

bkmaill.ru

gmani.ru

rrali.ru

grrlail.ru

gomarr.ru

rlrlail.ru

qmarr.ru

ririail.ru

rraili.ru

gmailtech.ru

gmarr.ru

gmail-cgi.ru

google-cgi.ru

gmail-black.ru

gmmail.ru

qrnali.ru

ruqmail.ru

neoyandex.ru

yandetx.ru

neondex.ru

gooqol.ru

qooqol.ru

gooqoi.ru

qoogol.ru

best-carparts.ru

qooqje.ru

qooge.ru

googie.ru

gooqje.ru

qooqr.ru

qooqil.ru

qoeir.ru

qooqel.ru

qogir.ru

qogor.ru

qooqikl.ru

qoqqle.ru

qoqori.ru

qoogil.ru

gmapl.ru

qiiqle.ru

qmali.ru

qmakil.ru

qoqoqle.ru

qoqoqe.ru

qkail.ru

qoogqle.ru

qogoi.ru

qooqgle.ru

qogoq.ru

ggogole.ru

qqoqle.ru

gogind.ru

gogoq.ru

qolin.ru

qoqk.ru

qoqole.ru

fooqle.ru

google-account.ru

google-abuse.ru

qoke.ru

abuse-google.ru

account-google.ru

qole.ru

cgibinlogin.ru

blackgmail.ru

abuse-tech.ru

technical-abuse.ru

Вполне возможно, что какие-то из приведенных доменов сейчас снова используются в преступных целях, в таком случае посчитаем данную информацию предупреждением.

Если же какой-то из приведенных доменов после освобождения используется в добропорядочных целях, автор будет настаивать на денежном вознаграждении за рекламу ресурса (шутка).

При переходах на страницы фишинг-движка несоответствие одной или нескольких букв официальному домену не бросается в глаза. В любом случае, доменное имя должно быть похоже на тот ресурс, на котором находится учетная запись (почтовый ящик) пользователя, или содержать в названии что-то, близкое по смыслу сервиса.

Пользователь не замечает разницы, когда вместо gmail попадает на grnail. Довольно часто используемый мошенниками прием, когда буква «т» заменяется на сочетание «г» + «п».

Вообще говоря, мало кто ищет и тем более находит подвох, видя строку браузера, в которой понаписано что-то вроде: