СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
04.09.2020
#ИБ

Киберпреступники добавляют оверлей на главную страницу для кражи авторизационных данных

Киберпреступники добавляют оверлей на главную страницу для кражи авторизационных данных

Масштабная фишинговая кампания, недавно развернутая в отношении организаций из разных стран мира, использует домашнюю страницу официальных сайтов, чтобы замаскировать кибератаку и обманом заставить потенциальных жертв предоставить учетные данные для входа.

Эксперты по информационной безопасности отмечают, что это сравнительно новая тактика, которая загружает официальную страницу атакуемой компании, но добавляет к ней поддельную форму авторизации.

Кибератака начинается с email-письма, якобы отправленного службой технической поддержки, с сообщением о том, что некоторым письмам была заблокирована возможность попадания во «Входящие», поскольку они были помещены в спам.

Чтобы создать ощущение срочности, в письме киберпреступников указывается, что электронные письма запланированы для удаления, если получатель не просмотрит их и не примет меры для их восстановления:

Ссылка в письме ведет потенциальную жертву на фишинговую страницу, где официальная страница атакуемой компании загружается автоматически в зависимости от доменного имени в адресе. Но хакеры добавляют на официальную страницу оверлей с поддельной формой входа в систему. Таким образом, сотрудники, подозревающие атаку, могут щелкнуть ссылки и убедиться в том, что они настоящие.

Этот метод добавления оверлея использовался в прошлом и теперь обычно применяется в случае с банковскими троянами для Android для кражи учетных данных для онлайн-банкинга и информации платежных карт.

Дилан Мейн из компании Cofense сообщил в своем блоге, что ссылки для этой фишинг-кампании взяты из того же домена («traximgarage[.]com»), но имеют определенные параметры для загрузки веб-страницы, соответствующей целевой компании.

В оверлее поддельного входа в систему адрес электронной почты получателя вводится в поле имени пользователя, благодаря чему всё выглядит более легитимным. Ниже приведены два примера, показывающих тактику в действии:

Дилан Мейн отметил, что оверлей представляет «продвинутую механику, чтобы фишинговая кампания выглядела еще более легитимной».

ИБ-специалисты говорят о том, что такой метод может быть малоэффективным в небольших фирмах, он может оказаться крайне эффективным в более крупных средах, где сотрудники, вероятно, будут больше полагаться на системы защиты электронной почты и станут менее бдительными.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: