Xakep #305. Многошаговые SQL-инъекции
Эксперты «Лаборатории Касперского» предупредили о всплеске мошеннических рассылок, направленных на русскоязычных пользователей. Спамерские сообщения отправляют с официальных сайтов компаний без ведома их владельцев. С середины июня по начало августа в компании зафиксировали как минимум 600 000 таких писем.
Исследователи пишут, что эта схема уже давно, но с годами не теряет своей актуальности. Она выглядит следующим образом: злоумышленники находят сайты, на которых есть формы для обратной связи, регистрации пользователей или связи с техподдержкой, которые не требуют верификации, в частности теста CAPTCHA.
В одних случаях мошенники вводят короткое скам-сообщение вместо логина или ФИО, например: «Вы выиграли! Пройдите по ссылке». В других — вставляют развернутый текст с картинками в поле самого обращения.
Затем почтовые адреса жертв добавляются в раздел «Контакты для связи». В результате человеку с легитимного адреса организации приходит автоматически сформированное письмо, например с благодарностью за регистрацию или уведомлением, что его обращение принято. В этом же письме отражается информация, которую ввели злоумышленники.
Обычно в подобных сообщениях адресату обещают легкий заработок или подарок, для получения которого нужно перейти по ссылке. Так человек попадает на сайт, где ему предлагают пройти опрос, принять участие в акции или получить социальную выплату. В любом случае результат один: прежде чем получить деньги, требуется заплатить скромную по сравнению с обещанной суммой «комиссию» (например, несколько сотен рублей). На самом деле эта «комиссия» и составляет заработок мошенников, жертва же не получает ничего и рискует конфиденциальными данными, если вводила их на сайте. Как правило, для убедительности на подобных страницах размещают фальшивые отзывы других благодарных пользователей.
Эксперты говорят, что в скам-сообщениях, которые рассылались в июне-августе, злоумышленники придерживались нескольких легенд. Например, предлагали принять участие в вымышленной акции мессенджеров и обещали моментальную денежную выплату — до 5 000 долларов США.
В других письмах содержалось уведомление от некой платформы по автоматическому сбору денежных бонусов с предложением перейти по ссылке. На сайте говорилось, что учетная запись пользователя, якобы созданная год назад, будет удалена через день. Однако за время, пока аккаунт был неактивен, сбор денежных бонусов происходил в пассивном режиме и для вывода доступно больше 300 000 рублей. Пользователю предлагают запустить вывод средств и показывают анимацию сбора денег с доменов в интернете. Чтобы их получить, необходимо указать номер банковской карты и выполнить проверочный платеж, который якобы должен вернуться вместе с суммой выплаты.
«Опасность этой схемы в том, что письма приходят с легитимного адреса. Это известный и актуальный прием среди злоумышленников, которые эксплуатируют недоработки на сайтах. Невнимательный пользователь может кликнуть по ссылке, не обратив внимания на верстку и несоответствие темы письма его содержанию. Мошенники применяют этот прием в том числе для обхода антифишинговых и антиспам-технологий», — отмечает Андрей Ковтун, руководитель группы защиты от почтовых угроз в «Лаборатории Касперского».