SOS :: Security Operation Space
24 апреля, среда, 00:00
|
Hot News:

Фишеры прячут фальшивые страницы в Google Переводчике

08 февраля 2019 г., пятница, 11:40

Мошенники надеются обмануть жертву, поскольку ссылка на поддельный ресурс содержит название легитимного домена.

Специалист компании Akamai Ларри Кэшдоллар (Larry Cashdollar) рассказал о необычной фишинговой атаке, с которой он столкнулся в начале января. Как сообщил эксперт, злоумышленники используют Google Переводчик, чтобы замаскировать адрес фальшивой страницы авторизации и похитить учетные данные Gmail-аккаунта жертвы, а также логин и пароль ее профиля в Facebook. По мнению исследователя, мошенники применяют один из стандартных фишинговых комплектов, распространяемых в дарквебе.

Нападение началось с уведомления о входе в аккаунт Google на новом устройстве, которое специалист получил 7 января. Исследователь отмечает, что на экране смартфона послание смотрелось довольно убедительно, однако, открыв его на компьютере, он заметил признаки фальшивки. Аналитик обратил внимание, что почтовый ящик отправителя зарегистрирован на сервисе Hotmail, а его имя указывает на службу безопасности Facebook.

Перейдя по ссылке в письме, Кэшдоллар оказался на фальшивой странице авторизации Google. Для ее отображения злоумышленники использовали сервис Google Переводчик, который позволяет перевести содержимое сайта и открыть его копию. В первой части адреса такой страницы указывается легитимный домен сервиса, а реальный URL ресурса располагается внутри последовательности служебных символов. Таким образом мошенники пытались убедить жертву, что она находится на сайте Google, и обойти защиту антивирусных сканеров.

После ввода учетных данных вредоносная страница перенаправила специалиста на другой сайт, имитирующий мобильную версию службы авторизации Facebook. По мнению эксперта, злоумышленники использовали для атаки типовой фишинговый набор, который можно купить или бесплатно скачать в даркнете. В него входят макеты фальшивых сайтов, в код которых необходимо лишь добавить ссылки переадресации и данные электронной почты для передачи похищенных данных.

Фишеры прилагают немало усилий, чтобы их страницы выглядели, как легитимный ресурс. В октябре прошлого года стало известно, что мошенники разместили HTML-файл, имитирующий авторизацию системы Office 365, в облачном хранилище Azure Blob. Открыв его, пользователь видел в адресной строке информацию о соединении, защищенном SSL-сертификатом компании Microsoft, которой принадлежит сервис. При помощи этой уловки киберпреступники рассчитывали убедить жертву, что она находится на сайте разработчика программного обеспечения, и похитить ее учетные данные.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
15:52
15:15
13:15
12:47
11:15
09:15
07:15
07:15
06:15
04:54
16:05
15:52
15:15
13:15
13:15
11:15
09:15
08:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.234
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.