Хакер #305. Многошаговые SQL-инъекции
Эксперты «Лаборатории Касперского» рассказали о сравнительно новой мошеннической схеме: злоумышленники предлагают пользователям совершенно бесплатно сгенерировать коды подарочных карт, например, iTunes, Google Play, Amazon, Steam и так далее. Для этого они преступники создают фишинговые сайты, с помощью которых перенаправляют посетителей уже на другие партнерские интернет-ресурсы. Там жертвы совершают определенные действия, например, вводят какие-либо персональные данные, за которые владельцы поддельных сайтов-генераторов получают деньги. В результате пользователи не только не получают бесплатные коды подарочных карт, но и рискуют потерять деньги или скомпрометировать свои личные данные.
Отмечается, что алгоритмы генерации кодов крупных компаний, таких как Apple или Google, надежно защищены от атак. А единственный громкий случай (якобы) взлома китайскими хакерами алгоритма генерации кодов iTunes в 2009 году, по мнению ИБ-специалистов, больше походил на схему отмывания средств.
Исследователи пишут, что мошеннические сайты-генераторы могут быть очень разными по качеству исполнения, а ссылки на них распространяются несколькими способами, например, посредством спам-рассылок или с помощью баннеров «нечистоплотных» рекламных сетей. При этом алгоритм действий злоумышленников всегда один и тот же. Если пользователь заинтересовался предложением бесплатно получить код, он должен выбрать на сайте подарочную карту. Только после этого система начинает «генерацию кода» или «взлом».
Для успешного получения кода пользователю необходимо подтвердить, что он не робот. В зависимости от страны проживания пользователя попросят пройти по предложенной ссылке и выполнить некое задание: сыграть в лотерею, оставить свой телефон и почтовый адрес, подписаться на платную SMS-рассылку, установить рекламное ПО (которое будет перенаправлять все его поисковые запросы, собирать сведения о его деятельности в интернете и сопротивляться удалению) и так далее.
В итоге жертва либо бесконечно перемещается по партнерским сайтам, либо получает в подарок случайный набор символов, который, конечно, не является настоящим кодом подарочной карты. В дальнейшем недобросовестные рекламодатели могут использовать полученные таким образом персональные данные, к примеру, для рассылки спама.
Эксперты отмечают, что некоторые легитимные приложения действительно покупают коды подарочных карт у официальных вендоров и раздают их клиентам, которые уже принесли компаниям прибыль, достаточную для компенсации подобных расходов. Это, например, Tokenfire и Swagbucks. Они заранее сообщают, что подарочную карту можно только «купить» за заработанные в их системе очки. По сравнению с ними мошеннические сайты-генераторы выглядят гораздо более привлекательно, поскольку якобы не требуют никаких действий от пользователя взамен.
«Злоумышленники, которые прибегают к такой мошеннической схеме, эксплуатируют желание людей получить что-либо совершенно бесплатно. При этом прибыль самих киберпреступников за “продажу действий” пользователей колеблется от нескольких центов за клик по нужной ссылке до нескольких десятков долларов за заполнение анкеты или подписки на платные услуги. Доверчивые посетители подобных сайтов могут в лучшем случае потратить много времени на выполнение бесполезных заданий, а в худшем – потерять деньги, не получив ничего в результате. Соответственно, если вы хотите приобрести бесплатную подарочную карту, попробуйте сделать это с помощью легитимного и надежного ресурса», – подчеркнула Любовь Николенко, контент-аналитик «Лаборатории Касперского».