Xakep #305. Многошаговые SQL-инъекции
Злоумышленники продолжают использовать названия известных компаний и сервисов для организации фишинговых атак, чтобы выманить личные и платежные данные пользователей. Чаще всего попытки перехода по фишинговым ссылкам связаны со страницами, маскирующимися под различные мессенджеры (19%).
Специалисты «Лаборатория Касперского» пишут, что на втором месте оказались почтовые сервисы и веб-порталы (18,5%). Третье и четвертое места заняли онлайн-игры (11%) и финансовые организации (10,5%). При этом доля фишинговых ресурсов, использующих названия онлайн-магазинов, составила лишь 8%.
Отмечается, что злоумышленники нередко добавляют в адреса мошеннических сайтов названия известных компаний, чтобы продавать контрафактную продукцию или собирать учетные данные пользователей. Иногда мошенники имитируют профили компаний в социальных сетях и магазинах приложений. В результате таких кибератак риску подвергаются как деньги и информация клиентов, так и репутация самих брендов.
Кроме того, в некоторых случаях целевой фишинг направлен на получение доступа к баллам, которые можно обменять на деньги, бонусы, продукты или услуги. Для этого в некоторых случаях достаточно получить доступ к личному кабинету жертвы.
Кража бонусных баллов — тоже весьма распространенное явление. Так, в 2023 году каждый десятый респондент (11%) опроса, проведенного компанией, отметил, что либо он сам, либо его близкие или знакомые сталкивались с подобными инцидентами.