Особенности киберпреступлений в России: инструменты нападения и защиты информации (Масалков) - страница 34

Также в истории подключений останутся данные, передаваемые фишинг-движком при соединении с почтовым сервером, в нашем случае это такой «отпечаток»:

User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8 (.NET CLR 3.5.30729)

К переменной User-Agent еще вернемся. На этом с моментами, которые могут показаться технически менее подкованному читателю сложными, будет покончено. Приведенная техническая часть будет полезна при проведении исследований и для глубокого понимания процессов фишинговых сайтов.

Покончив с технической частью, можно рассмотреть еще несколько вариантов фэйков для формирования картины ассортимента и гибкости фишинг-атак.

Фишинг-движок изнутри. Пример 4

Рассмотрим еще один движок, имитирующий просмотр пользователем присланного файла под именем otchet.jpeg.

На этот раз злоумышленники использовали дизайн интерфейса другого популярного почтового сервиса[23].

Так же, как и во втором примере, при обращении к якобы присланному файлу пользователь наблюдает некий процесс то ли загрузки, то ли подключения (см. рис. 1.35).

Рис. 1.35. Процесс обращения к вложенному файлу

Как и задумано злоумышленниками, попытка просмотра пользователем присланного файла прерывается в связи с «обрывом сессии» и необходимостью повторной авторизации, о чем красноречиво сообщает интерфейс (см. рис. 1.36).

Рис. 1.36.Интерфейс фэйка: необходимость повторной авторизации

Код имитации открытия изображения выглядит следующим образом: