Примитивная маскировка под Microsoft позволила массово похитить пароли пользователей

Есть некоторое сходство

Эксперты по безопасности отметили довольно массовую фишинговую кампанию «от лица Microsoft».
На самом деле, мошеннические письма имитируют автоматические уведомления Office 365 о неотправке какого-либо письма — Microsoft found Several Undelivered Messages. Далее в письме предлагается перейти по ссылке Send Again («отправить повторно»).
Пользователи Office 365 действительно получают подобные сообщения, если отправка какого-либо письма не удалась. Однако эти уведомления выглядят несколько иначе. Никакой кнопки Send Again со ссылкой в легитимном уведомлении нет.

А зачем эта красная кнопка?

В фальшивке пользователей, как можно догадаться, перенаправляют на фишинговый сайт, на котором имитируется форма логина в Office 365, причем почтовый адрес пользователя там уже фигурирует, остается только ввести пароль — на радость злоумышленникам.

microsoft600.jpg


Фишинговые письма маскируют под сообщения Office 365
После ввода пароля, функция jаvascript sendmail() отправит почтовый адрес и введенный пароль скрипту sendx.php, а затем снова перенаправит уже на легитимную страницу логина в Office 365 с сообщением о том, что введенный пароль не подходит.
«Это простой и довольно типичный способ серийной кражи паролей, — отмечает Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. — К сожалению, как показывает практика, даже такие незамысловатые финты работают весьма эффективно. В данном случае расчет идет на невнимательность пользователя, а соответственно единственный надежный способ противостоять такому фишингу — это приучить себя перепроверять источники подобных сообщений и сайты, на которые они ведут».
Интересно, что хакеры готовили ловушку относительно небрежно. Эксперт, первым обнаруживший фишинговую компанию, обратил внимание, что уведомление «от Office 365» поступает якобы из доменных адресов IBM в США — Postmaster@us.ibm.com. Однако, учитывая, что Postmaster — это типовое наименование автоматических уведомлений, на то, что находится после @ многие пользователи действительно не обратили бы внимание.


Добавить комментарий

Оставить комментарий

Кликните на изображение чтобы обновить код, если он неразборчив