Хакер #305. Многошаговые SQL-инъекции
Аналитики из компании Cyble зафиксировали интересную фишинговую кампанию, направленную против пользователей из Греции. Операторы этой аферы управляют фишинговыми сайтами, имитирующими официальный сайт Греческой налоговой службы. Сайты содержат кейлоггер, который ворует учетные данные и прочую информацию прямо по мере ввода.
Атака начинается с обычных фишинговых писем, в которых злоумышленники выдают себя за Греческую налоговую службу и сообщают пользователю хорошую новость: якобы после перерасчета ему положен возврат налогов на сумму 634,13 евро. В письмах сообщается, что автоматически отправить средства на банковский счет получателя не удалось из-за неких проблем.
В итоге пользователя просят посетить сайт налоговой службы и пройти проверку самостоятельно. Письма содержат ссылки, ведущие несколько фишинговых подделок под официальный сайт Греческой налоговой службы (govgr-tax[.]me/ret/tax, govgreece-tax[.]me и mygov-refund[. ]me/ret/tax).
На фейковом сайте посетителей просят выбрать банковское учреждение, в которое нужно осуществить отправку средств. Жертвам предлагают семь вариантов на выбор, включая несколько крупных греческих банков. В зависимости от того, какой банк выберет пользователь, его перенаправят на другой фальшивый ресурс. В итоге страница входа в систему будет оформлена в стиле выбранного финансового учреждения.
Когда жертва приступит к вводу своих учетных данных в предложенную форму, сработает JavaScript-кейлоггер, присутствующий на странице, перехватит все нажатия клавиш и передаст данные своим операторам.
Таким образом, злоумышленники получат доступ к информации в режиме реального времени. Хуже того, даже если пользователь в последний момент одумается и не нажмет кнопку «Отправить», это уже не будет иметь никакого значения, ведь информация подвергается компрометации моментально, прямо по мере ее набора.
Исследователи отмечают, что фишеры крайне редко используют кейлоггинг в режиме реального времени, и вероятно, эта атака, нацеленная на греков, может свидетельствовать о зарождении нового и крайне опасного тренда в среде хакеров. Такой способ атак может значительно повысить вероятность успешной кражи учтенных данных, а JavaScript-кейлоггер будет загружаться и работать даже в том случае, если жертва настроила браузер на блокировку сторонних трекеров.