Вчера в сети появился любопытный сайт – sbersecure.ru
Ресурс позиционирует себя как сайт службы безопасности ПАО «Сбербанк». Только вот домен зарегистрирован на частное лицо, а IP-адрес 104.18.54.19 принадлежит небезызвестной американской компании CloudFlare Inc.
Часть элементов страницы, в частности верхнее меню и футер, откровенно скопирована с настоящего сайта Сбербанка. Все ссылки в них ведут на настоящий сайт Сбербанка.
Первое, что привлекает внимание на сайте, это большая кнопка с надписью «Срочно получить помощь». Нажатие на нее отправляет нас на еще более интересную страницу https://sbersecure.ru/help.html. Попутно выполняется с десяток скриптов, некоторые из которых обращаются к https://ibbe.group-ib.ru. Скорее всего они тоже были бездумно скопированы со старой версии официального ресурса банка.
Страница, на которую попадает нажавший на кнопку пользователь, именуется «Сегрегация счетов». В центре страницы располагается форма ввода табельного номера сотрудника, чуть ниже – неактивная форма сброса логина и пароля сервиса «Сбербанк Онлайн». При этом маска ввода табельного номера не соответствует действительности, а слово «онлайн» в заголовке написано с маленькой буквы.
Попытки ввести произвольные номера приводят к появлению окна с надписью «Табельный номер сотрудника не верный».
Точная схема работы сайта пока не ясна, возможно его просто еще не успели полноценно запустить, но вот фишинговый характер ресурса налицо.
Мы проинформировали банк о возможной угрозе для его клиентов.
@In4security
Ресурс позиционирует себя как сайт службы безопасности ПАО «Сбербанк». Только вот домен зарегистрирован на частное лицо, а IP-адрес 104.18.54.19 принадлежит небезызвестной американской компании CloudFlare Inc.
Часть элементов страницы, в частности верхнее меню и футер, откровенно скопирована с настоящего сайта Сбербанка. Все ссылки в них ведут на настоящий сайт Сбербанка.
Первое, что привлекает внимание на сайте, это большая кнопка с надписью «Срочно получить помощь». Нажатие на нее отправляет нас на еще более интересную страницу https://sbersecure.ru/help.html. Попутно выполняется с десяток скриптов, некоторые из которых обращаются к https://ibbe.group-ib.ru. Скорее всего они тоже были бездумно скопированы со старой версии официального ресурса банка.
Страница, на которую попадает нажавший на кнопку пользователь, именуется «Сегрегация счетов». В центре страницы располагается форма ввода табельного номера сотрудника, чуть ниже – неактивная форма сброса логина и пароля сервиса «Сбербанк Онлайн». При этом маска ввода табельного номера не соответствует действительности, а слово «онлайн» в заголовке написано с маленькой буквы.
Попытки ввести произвольные номера приводят к появлению окна с надписью «Табельный номер сотрудника не верный».
Точная схема работы сайта пока не ясна, возможно его просто еще не успели полноценно запустить, но вот фишинговый характер ресурса налицо.
Мы проинформировали банк о возможной угрозе для его клиентов.
@In4security