Особенности киберпреступлений в России: инструменты нападения и защиты информации (Масалков) - страница 32

Рис. 1.28.Учетные данные, сохраненные в текстовом файле на сервере

Помимо этого, мы помним, что введенные данные были отправлены на электронный адрес, заданный в файле фишинг-движка.

Фишинг-движок изнутри. Пример 2

Теперь рассмотрим более интересный экземпляр фэйка, с имитацией загрузки файла, который по статистике очень «нравится» пользователям.

Он состоит из следующих файлов (рис. 1.29):

Рис. 1.29.Файлы фишинг-движка

Имитация обращения к присланному в письме злоумышленником файлу выглядит следующим образом (рис. 1.30):

Рис. 1.30.Имитация обращения к файлу

В данном случае пользователь пытается открыть присланный файл schet.pdf.

При этом пробегает анимированная полоса загрузки, создающая иллюзию процесса, но что-то, видимо, пошло не так, и для продолжения требуется авторизация (рис. 1.31).

Рис. 1.31.Окно авторизации фэйка

В настройках данного фишинг-движка приблизительно то же самое, что и в предыдущем примере, кроме дополнительного программного файла, содержащего сценарий загрузки несуществующего файла, в данном случае это файл view.php. Фрагмент его содержимого приведен на рис. 1.32.

Рис 1.32.Фрагмент содержимого файла view.php

В файле login.php содержатся параметры, которые злоумышленник может изменять от случая к случаю (рис. 1.33).

Рис 1.33.Фрагмент содержимого файла view.php

В данном примере злоумышленник определяет страницу (параметр $fake), на которой находится главная страница фишинг-движка. В тегах для поддержания легенды указывает имя файла, который очень хочет посмотреть пользователь, здесь он schet.pdf.

При подготовке ссылки на страницу с использованием такого фишинг-движка злоумышленник так же, как и в первом рассмотренном примере, посредством ассоциативного массива параметров передает данные о логине пользователя и якобы присланном ему файле:

http://localhost/view2.php?id=schet.pdf&login=pochtauser&server=gmail-files

Фишинг-движок изнутри. Пример 3

Рассмотрим другой пример фэйка.

Интересен он тем, что в нем добавлена функция проверки правильности введенного пароля пользователем.

Автоматическая проверка похищенного пароля

Происходит это посредством функции fsockopen, которая внедрена в файл index.php этого движка.

Интерфейс движка (см. рис. 134) также был бессовестно позаимствован у официального сервиса[22] с одной лишь только целью — ввести в заблуждение пользователя и не дать ему повода засомневаться, что вводимые им данные (пароль) могут отправиться куда-либо, кроме официального почтового сервера.

Рис. 1.34.Интерфейс фэйка

Функция проверки корректности вводимых жертвой данных была введена ленивыми хакерами, которые делают фонтаны рассылок — слепых фишинговых атак — и лишний раз не хотят расстраиваться, если пользователь во время того, как его пароль пытались спереть, «очепятался» при вводе своего логина или пароля.