Хакер #305. Многошаговые SQL-инъекции
Команда исследователей Check Point Research обнаружила всплеск активности хакеров в течение последних шести недель. Дело в том, что из-за ограничений, связанных с COVID-19, онлайн-шопинг в этом году вышел на новый уровень, а количество онлайн-покупок в «черную пятницу», «киберпонедельник» бьет все рекорды. Конечно, злоумышленники не могли остаться в стороне.
Одним из первых доказательств возросшей активности стал небывалый рост потребительских расходов 11 ноября: в этот день в Китае проходит самый масштабный в мире фестиваль интернет-шопинга, приуроченный ко Дню холостяка. По данным компании Alibaba, объем продаж в этом году вдвое превзошел рекорд предыдущего года и составил 74 000 000 000 долларов. В России, по данным AliExpress Россия, продажи товаров на платформе в период распродажи составили 19 300 000 000 рублей. Оборот российских продавцов превысил 3 300 000 000 рублей — по сравнению с прошлым годом этот показатель вырос в 1,3 раза. Ожидается, что объемы продаж будут расти и далее.
Однако к буму интернет-покупок готовятся не только магазины и покупатели, злоумышленники тоже мобилизуются, чтобы заработать на скидочном ажиотаже. Исследователи Check Point Research пишут о всплеске активности хакеров, сопровождающемся ростом фишинговых атак под видом «специальных предложений», нацеленных на пользователей онлайн-магазинов.
За четыре недели (в период с 8 октября по 9 ноября) во всем мире удвоилось количество фишинговых рассылок со «специальными предложениями: с 121 случая в неделю в октябре до 243 случаев в неделю к началу ноября.
- В первой половине ноября на 80% увеличилось число фишинговых рассылок, связанных с распродажами и специальными предложениями от магазинов. Подобные электронные письма содержали слова «sale», «% off» и другие, связанные с выгодными покупками.
- Если в начале октября фишинговым было одно из 11 000 электронных писем, связанных с ноябрьским сезоном скидок, то в ноябре вредоносным оказалось 1 электронное письмо из 826.
- Всего за два дня (9 и 10 ноября) количество фишинговых атак со «специальными предложениями» было выше, чем за первые семь дней октября.
В качестве примера исследователи Check Point выбрали одно из недавно обнаруженных фишинговых писем, которое злоумышленники составили от лица бренда ювелирных украшений Pandora.
- Email subject: «Cyber Monday | Only 24 Hours Left!» (Тема: «Киберпонедельник | Осталось всего 24 часа!»)
- Sender: Pandora Jewellery (no-reply\@amazon\.com) (От: Pandora Jewellery (no-reply\@amazon\.com))
Несмотря на то, что в поле отправителя фигурирует домен Amazon, ни в тексте письма, ни в ссылках Amazon не упоминается. В ходе проверки выяснилось, что адрес электронной почты, с которого проводилась рассылка, был подделан таким образом, чтобы казалось, будто письмо пришло от Amazon.
Две ссылки из письма ведут на сайт, который вводит получателя в заблуждение: якобы письмо отправлено ювелирной компанией Pandora. Одним из показателей того, что письмо подделка, служит орфографическая ошибка в слове «jewelry». Ссылки в письме сначала вели на сайт www[.]wellpand[.]com, а через несколько дней — на похожий сайт www[.]wpdsale[.]com.
Еще одним доказательством поддельности письма послужил тот факт, что оба сайта были зарегистрированы в период с конца октября по начало ноября, незадолго до осуществления рассылки. Дальнейший анализ показал, что оба сайта, ссылки на которые присутствовали в письме, копировали официальный сайт бренда Pandora. По данным Check Point, жертвами этой фишинговой атаки стали пользователи из США, Великобритании и Болгарии.