Киберпреступники добавляют оверлей на главную страницу для кражи авторизационных данных

Дата: 04.09.2020. Автор: Артем П. Категории: Новости по информационной безопасности
Киберпреступники добавляют оверлей на главную страницу для кражи авторизационных данных

Масштабная фишинговая кампания, недавно развернутая в отношении организаций из разных стран мира, использует домашнюю страницу официальных сайтов, чтобы замаскировать кибератаку и обманом заставить потенциальных жертв предоставить учетные данные для входа.

Эксперты по информационной безопасности отмечают, что это сравнительно новая тактика, которая загружает официальную страницу атакуемой компании, но добавляет к ней поддельную форму авторизации.

Кибератака начинается с email-письма, якобы отправленного службой технической поддержки, с сообщением о том, что некоторым письмам была заблокирована возможность попадания во «Входящие», поскольку они были помещены в спам.

Чтобы создать ощущение срочности, в письме киберпреступников указывается, что электронные письма запланированы для удаления, если получатель не просмотрит их и не примет меры для их восстановления:

Киберпреступники добавляют оверлей на главную страницу для кражи авторизационных данных

Ссылка в письме ведет потенциальную жертву на фишинговую страницу, где официальная страница атакуемой компании загружается автоматически в зависимости от доменного имени в адресе. Но хакеры добавляют на официальную страницу оверлей с поддельной формой входа в систему. Таким образом, сотрудники, подозревающие атаку, могут щелкнуть ссылки и убедиться в том, что они настоящие.

Этот метод добавления оверлея использовался в прошлом и теперь обычно применяется в случае с банковскими троянами для Android для кражи учетных данных для онлайн-банкинга и информации платежных карт.

Дилан Мейн из компании Cofense сообщил в своем блоге, что ссылки для этой фишинг-кампании взяты из того же домена («traximgarage[.]com»), но имеют определенные параметры для загрузки веб-страницы, соответствующей целевой компании.

В оверлее поддельного входа в систему адрес электронной почты получателя вводится в поле имени пользователя, благодаря чему всё выглядит более легитимным. Ниже приведены два примера, показывающих тактику в действии:

Киберпреступники добавляют оверлей на главную страницу для кражи авторизационных данных
Киберпреступники добавляют оверлей на главную страницу для кражи авторизационных данных

Дилан Мейн отметил, что оверлей представляет «продвинутую механику, чтобы фишинговая кампания выглядела еще более легитимной».

ИБ-специалисты говорят о том, что такой метод может быть малоэффективным в небольших фирмах, он может оказаться крайне эффективным в более крупных средах, где сотрудники, вероятно, будут больше полагаться на системы защиты электронной почты и станут менее бдительными.

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *