Xakep #305. Многошаговые SQL-инъекции
Новая фишинговая кампания, нацеленная на немецких пользователей электронного банкинга, использует QR-коды для получения учетных данных.
О новой компании предупредили специалисты компании Cofense. Они пишут, что фишинговые письма преступников тщательно продуманы, содержат логотипы банков, структурированный контент и, как правило, хорошо написаны. Темы таких посланий различаются: пользователя могут просить дать согласие на изменившуюся политику обработки данных, или прикрываться запросом на пересмотр процедур безопасности.
При нажатии встроенной в письмо кнопки жертва попадает на фишинговый сайт, пройдя через службу feed-прокси Google FeedBurner. Также для этих перенаправлений хакеры регистрируют и собственные домены. Исследователи говорят, что этот дополнительный шаг направлен на обман защитных решений, чтобы те не замечали переходов по подозрительным ссылкам и самих ссылок. Как правило, такие домены недавно зарегистрированы на REG.RU и имеют стандартную структуру URL (в зависимости от целевого банка).
Однако в последних фишинговых кампаниях злоумышленники стали использовать для перенаправления жертв на фишинговые сайты QR-коды вместо встроенных кнопок. По сути, такие письма не содержат URL-адресов в виде открытого текста, что дополнительно затрудняет их обнаружение. Также эксперты говорят, что QR-коды более эффективны, так как нацелены на мобильных пользователей, которые с меньшей вероятностью защищены антивирусным ПО.
На фишинговом сайте мошенников пользователю предлагается сообщить такие данные, как местонахождение банка, код, имя пользователя и PIN-код. Затем жертва какое-то время ожидает проверки, но вскоре ей предлагается ввести свои учетные данные снова, так как якобы в первый раз что-то пошло не так. Такое повторение является распространенной среди злоумышленников тактикой, и используется для выявления опечаток, которые пользователь мог допустить, вводя учетные данные в первый раз.
Эксперты напоминают: неважно насколько легитимным выглядит email, следует избегать кликов по каким-либо кнопкам, URL-адресам и даже QR-кодам, которые приведут на некий внешний сайт.