--- title: "Анализ фишинг-атаки на пользователей интернет банкинга www.homebank.kz" description: "Не так давно в новостях было упоминание о фишинг атаке на пользователей Интернет банкинга homebank.k..." author: "nfmka" published: "2015-07-30T00:47:00+00:00" modified: "2015-07-30T01:01:21+00:00" locale: "ru" canonical_url: "https://yvision.kz/post/analiz-fishing-ataki-na-polzovateley-internet-bankinga-www-homebank-kz-525755" markdown_url: "https://yvision.kz/post/analiz-fishing-ataki-na-polzovateley-internet-bankinga-www-homebank-kz-525755/markdown" site_name: "Yvision.kz" --- # Анализ фишинг-атаки на пользователей интернет банкинга www.homebank.kz > Не так давно в новостях было упоминание о фишинг атаке на пользователей Интернет банкинга homebank.k... Не так давно в новостях было упоминание о фишинг атаке на пользователей Интернет банкинга homebank.kz и член нашей команды решил провести небольшой анализ данной ситуации. Описание выкладывается с нашей стороны, поэтому если у вас будут свои идеи по данному поводу, то будем рады обсуждению=). Итак, атака начинается с получения письма (Рис 1.) от АО Казкоммерцбанк . Письмо следующего содержания ![Анализ фишинг-атаки на пользователей интернет банкинга www.homebank.kz](http://storage.yvision.kz/images/user/nfmka/g3aq7COZjxDtM2Hikd357YeEV2F9lq.png) Рис. 1 Обратите внимание на поле "Код CVV2/CVC2 или 4CSC..." при открытии письма в данном поле уже стоят звездочки, и если посмотреть что под ними (просмотрев исходники) вы очень удивитесь, ведь под ними будет ваш пароль от почтового ящика. И если не заполнить поля и просто нажать на кнопку "Далее", ваш пароль "утечёт" в чужие руки. ![Анализ фишинг-атаки на пользователей интернет банкинга www.homebank.kz](http://storage.yvision.kz/images/user/nfmka/f9ENeJ7S0YP3N60I0PT64BiuCp5Qg1.png) Рис. 2 Как вы можете увидеть, после нажатия на кнопку "Далее", наши данные улетают на сервер russianclub.ge (Рис 3) ![Анализ фишинг-атаки на пользователей интернет банкинга www.homebank.kz](http://storage.yvision.kz/images/user/nfmka/FIBzlkcomi0oZJ3C40QjddgA0aKO1j.png) Рис. 3 Сайт вероятнее всего используется для "грязных" дел, и в этом не сложно убедиться, достаточно проследовать по ссылке с Рис. 2. и вот что мы можем увидеть Рис. 4 ![Анализ фишинг-атаки на пользователей интернет банкинга www.homebank.kz](http://storage.yvision.kz/images/user/nfmka/bCxT0lVQ12h7HAPGt77V41t4GBn9Rw.png) Рис. 4 Обратите внимание на адрес и содержание страницы, это копия страницы с сайта homebank.kz. Не посвященному человеку будет довольно сложно не доверять столь знакомому интерфейсу, но опытный пользователь сразу заметит, что в адресной строке указан совершенно другой сайт. И так, возвращаемся к Рис. 2. Пользователи, что заполнили поля и нажали на кнопку "Далее", перенаправляются на fake-страницу homebank.kz Рис. 4, а все данные что они ввели сохраняются в dump-файл на сервере russianclub.ge, где все это обрабатывается с помощью php скрипта. Содержание данного скрипта можно увидеть ниже Рис.5 (не надо спрашивать как мы получили к нему доступ =) ) ![Анализ фишинг-атаки на пользователей интернет банкинга www.homebank.kz](http://storage.yvision.kz/images/user/nfmka/p3oGygCbMRwzN77LputW4SO9u1V8ha.png) Рис. 5 Имя файла куда сохраняются все украденные данные указано в строке 9, показывать реальное имя файла мы не будем, т.к. не хотим, чтобы кто-то смог этим воспользоваться. Найти сейчас организатора данной атаки спустя столь большое время на наш взгляд кажется проблематичным, хотя если посмотреть заголовки письма Рис. 6 то можно без особого труда увидеть реальный ip адрес отправителя данного письма ![Анализ фишинг-атаки на пользователей интернет банкинга www.homebank.kz](http://storage.yvision.kz/images/user/nfmka/eoToPzZ37vHJ5916kk94GiHmPogqPp.png) Рис. 6 185.8.234.2 ip-адрес, хотя конечно не факт что это именно он. Краткое описание атаки: Жертва получает письмо от ККБ и дальше события развиваются по трем направлениям: 1) Жертва заполняет данные и нажимает на кнопку «далее» и все введенные данные получает злоумышленик; 2) Не заполняет данные, а просто нажимает на «далее» и в сеть утекает только пароль от почтового ящика (что тоже довольно критично, ведь в сети очень многие ресурсы подвязаны к почте); 3) и последнее, жертва просто игнорирует письмо. (с) http://cybersec.kz/news/analiz-fishing-ataki-na-polzovateley-internet-bankinga-wwwhomebankkz https://www.facebook.com/cyberseckz PS: Администрация скопрометированного сайта уведомлена о проблемах в безопасности на своем ресурсе Update: чуть не упустили еще одну деталь, возможно злоумышленники так же хотели провести масштабную фишинг атаку на клиентов компании PS.kz, на сервере был найден html-файл (создан **2015-05-03**) вот с таким вот содержанием см. Рис. 7 ![Анализ фишинг-атаки на пользователей интернет банкинга www.homebank.kz](http://storage.yvision.kz/images/user/b4trjan/U1KVlP2mH4AuyZ5NGmeDQyUTzIco96.png) Рис. 7 который ведет на форму восстановления пароля для панели ps.kz Рис. 8 ![Анализ фишинг-атаки на пользователей интернет банкинга www.homebank.kz](http://storage.yvision.kz/images/user/b4trjan/oobiJH51jcb5QKd13Naq55YFLcIwQk.png) --- Source: [https://yvision.kz/post/analiz-fishing-ataki-na-polzovateley-internet-bankinga-www-homebank-kz-525755](https://yvision.kz/post/analiz-fishing-ataki-na-polzovateley-internet-bankinga-www-homebank-kz-525755)