ИБ-специалисты рассказали сразу о двух техниках, которые в последнее время приобрели популярность среди кибермошенников.

Селфи с документами

Исследователи компании PhishMe пишут о не совсем обычной фишинговой кампании, нацеленной на пользователей PayPal. Злоумышленники не просто заманивают своих жертв на поддельные сайты (скомпрометированные ресурсы на базе WordPress, расположенные в Новой Зеландии), имитирующие PayPal, чтобы похитить учетные данные, но просят жертв сделать селфи с документами, удостоверяющими личность.

Атакующие действуют достаточно просто: рассылают фишинговые письма, с помощью которых обманом заставляют пользователей перейти на мошеннический сайт. Там у жертвы спрашивают логин и пароль от аккаунта PayPal, причем злоумышленники даже не подделывают адреса URL, то есть заметить подмену совсем нетрудно.

Но одним только хищением логинов и паролей злоумышленники не ограничиваются. Исследователи отмечают, что преступники, по всей видимости, решили пойти ва-банк, и узнать у попавшего в ловушку пользователя всю ценную информацию, какую только возможно. Так, после ввода учтенных данных, оказывается, что жертве нужно пройти четырехступенчатый процесс «верификации аккаунта», который включает в себя предоставление адреса, данных о банковской карте и даже фотографии, на которой пользователя просят держать в руках документ, удостоверяющий личность.

При этом не совсем ясно, что хакеры собираются делать с этой информацией (особенно с фотографиями). Исследователи полагают, что фото нужны злоумышленникам для создания криптовалютных аккаунтов, которые будут использоваться для отмывания средств, похищенных у жертв.

Стоит отметить, что в 2016 году специалисты уже обнаруживали похожую угрозу. Тогда был найден мобильный троян Acecard, который так же просил пользователей сфотографироваться с документами.

Адреса с дефисами

Еще одну не совсем обычную мошенническую кампанию обнаружили аналитики PhishLabs. В данном случае злоумышленники атакуют пользователей мобильных устройств в целом и пользователей Facebook в частности.

Техника злоумышленников основывается на том, что на экранах мобильных гаджетов адресная строка браузера совсем короткая, и полный URL-адрес в ней зачастую не умещается. Атакующие используют эту особенность в своих целях, дополняя фишинговые URL множеством дефисов, в результате чего адреса выглядят легитимными в глазах неискушенных пользователей. В качестве примера исследователи приводят следующую ссылку, которая использовалась в ходе атак: hxxp://m.facebook.com—————-validate—-step1.rickytaylk[dot]com/sign_in.html

Как можно заметить, настоящий домен сайта — rickytaylk.com, а вовсе не m.facebook.com. Однако в мобильном браузере пользователь увидит только первую часть URL, то есть m.facebook.com.

Перейдя по такой ссылке, пользователи попадут на мошенническую страницу, где их попросят ввести учетные данные от аккаунта Facebook. Эксперты PhishLabs пишут, что мошенники используют скомпрометированные таким образом учетные записи преимущественно для рассылки фишингового спама друзьям жертвы, распространяя свою атаку далее.

Данная вредоносная кампания в первую очередь ориентирована на пользователей Facebook, но также специалисты обнаружили URL, имитирующие сайты таких сервисов, как Apple iCloud, Comcast, Craigslist и OfferUp:

  • hxxp://login.Comcast.net——-account-login-confirm-identity.giftcardisrael[dot]com/
  • hxxp://accounts.craigslist.org-securelogin—————viewmessage.model104[dot]tv/craig2/
  • hxxp://offerup.com——————login-confirm-account.aggly[dot]com/Login%20-%20OfferUp.htm
  • hxxp://icloud.com———————secureaccount-confirm.saldaodovidro[dot]com.br/

 

 



7 комментариев

  1. Themistocles

    20.06.2017 at 07:43

    Все гениальное просто. Лет через 200, все так же, в России будет пить и воровать и в интернете будет процветать фишинг

    • S@P

      20.06.2017 at 11:03

      А при чем здесь Россия? Как будто только в России мошенники и хакеры.
      А бухают вообще везде, особенно там, где плохо живут.
      Поэтому ваш коммент не уместен совсем.

      • Int

        21.06.2017 at 15:08

        Хватит употреблять слово хакер в негативном значении, оно изначально таким не было, это всё гуманитарии-журналисты, которые не разбираются в вопросе. Может, всех полицейских позорить, потому что некоторые из них коррумпированы? Сделаем ругательным слово «полицейский»?

        • S@P

          21.06.2017 at 15:33

          Претензии не ко мне, а к автору статьи. Автор ассоциирует хакеров с злоумышленниами и кибермошенниками.

      • DotBorn

        25.06.2017 at 13:08

        Полагаю предыдущий комментатор имел ввиду, что РФ настолько отсталая страна, что фишинг появится в рунете только через 200 лет, либо клонит к тому, что у нас слабые специалисты в области интернет угроз.
        Это несколько гиперболизировано конечно, так как фишинг у нас уже есть, но в целом я с комментатором согласен.
        Ах да, коммент уместен.

  2. Constantor

    20.06.2017 at 13:51

    В России это полностью незаконно. Тупо статья 159 «Мошенничество, то есть хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием», там есть её шестой раздел, где пишут не «на имущество», а «на информацию». В зависимости от ущерба срок до десяти лет!

  3. defenceproru

    25.06.2017 at 13:20

    Мне понятно, зачем спрашивают фотографию с документом. Во-первых, даже имея учетные данные paypal, при их вводе с другого устройства, особенно с IP-адреса другой страны или IP-адреса из черных списков, сайт запросит дополнительные данные, может попросить прислать код из СМС и т.п. Так делает Google. Во-вторых, с такими фотографиями можно регистрировать фейки, например на Airbnb, они запрашивают аналогичные фотографии.

Оставить мнение