Анализ фишинг-атаки на пользователей интернет банкинга www.homebank.kz

Не так давно в новостях было упоминание о фишинг атаке на пользователей Интернет банкинга homebank.kz и член нашей команды решил провести небольшой анализ данной ситуации. Описание выкладывается с нашей стороны, поэтому если у вас будут свои идеи по данному поводу, то будем рады обсуждению=).
Итак, атака начинается с получения письма (Рис 1.) от АО Казкоммерцбанк <[email protected]>.

Письмо следующего содержания

Рис. 1

Обратите внимание на поле "Код CVV2/CVC2 или 4CSC..." при открытии письма в данном поле уже стоят звездочки, и если посмотреть что под ними (просмотрев исходники) вы очень удивитесь, ведь под ними будет ваш пароль от почтового ящика. И если не заполнить поля и просто нажать на кнопку "Далее", ваш пароль "утечёт" в чужие руки.

Рис. 2
Как вы можете увидеть, после нажатия на кнопку "Далее", наши данные улетают на сервер russianclub.ge (Рис 3)

Рис. 3

Сайт вероятнее всего используется для "грязных" дел, и в этом не сложно убедиться, достаточно проследовать по ссылке с Рис. 2. и вот что мы можем увидеть Рис. 4

Рис. 4

Обратите внимание на адрес и содержание страницы, это копия страницы с сайта homebank.kz. Не посвященному человеку будет довольно сложно не доверять столь знакомому интерфейсу, но опытный пользователь сразу заметит, что в адресной строке указан совершенно другой сайт.
И так, возвращаемся к Рис. 2. Пользователи, что заполнили поля и нажали на кнопку "Далее", перенаправляются на fake-страницу homebank.kz Рис. 4, а все данные что они ввели сохраняются в dump-файл на сервере russianclub.ge, где все это обрабатывается с помощью php скрипта.

Содержание данного скрипта можно увидеть ниже Рис.5 (не надо спрашивать как мы получили к нему доступ =) )

Рис. 5

Имя файла куда сохраняются все украденные данные указано в строке 9, показывать реальное имя файла мы не будем, т.к. не хотим, чтобы кто-то смог этим воспользоваться.
Найти сейчас организатора данной атаки спустя столь большое время на наш взгляд кажется проблематичным, хотя если посмотреть заголовки письма Рис. 6 то можно без особого труда увидеть реальный ip адрес отправителя данного письма

Рис. 6

185.8.234.2 ip-адрес, хотя конечно не факт что это именно он.

Краткое описание атаки:
Жертва получает письмо от ККБ и дальше события развиваются по трем направлениям:
1) Жертва заполняет данные и нажимает на кнопку «далее» и все введенные данные получает злоумышленик;

2) Не заполняет данные, а просто нажимает на «далее» и в сеть утекает только пароль от почтового ящика (что тоже довольно критично, ведь в сети очень многие ресурсы подвязаны к почте);

3) и последнее, жертва просто игнорирует письмо.

(с) http://cybersec.kz/news/analiz-fishing-ataki-na-polzovateley-internet-bankinga-wwwhomebankkz

https://www.facebook.com/cyberseckz

PS: Администрация скопрометированного сайта уведомлена о проблемах в безопасности на своем ресурсе

Update: чуть не упустили еще одну деталь, возможно злоумышленники так же хотели провести масштабную фишинг атаку на клиентов компании PS.kz, на сервере был найден html-файл (создан 2015-05-03) вот с таким вот содержанием см. Рис. 7

Рис. 7

который ведет на форму восстановления пароля для панели ps.kz Рис. 8