Фишеры прячут фальшивые страницы в Google Переводчике

Специалист компании Akamai Ларри Кэшдоллар (Larry Cashdollar) рассказал о необычной фишинговой атаке, с которой он столкнулся в начале января. Как сообщил эксперт, злоумышленники используют Google Переводчик, чтобы замаскировать адрес фальшивой страницы авторизации и похитить учетные данные Gmail-аккаунта жертвы, а также логин и пароль ее профиля в Facebook.

По мнению исследователя, мошенники применяют один из стандартных фишинговых комплектов, распространяемых в дарквебе, пишет Threatpost.

Нападение началось с уведомления о входе в аккаунт Google с нового устройства. Исследователь отмечает, что на экране смартфона послание смотрелось довольно убедительно, однако, открыв его на компьютере, он заметил признаки фальсификации. Аналитик обратил внимание, что почтовый ящик отправителя зарегистрирован на сервисе Hotmail, а его имя указывает на службу безопасности Facebook.

Перейдя по ссылке в письме, Кэшдоллар оказался на фальшивой странице авторизации Google. Для ее отображения злоумышленники использовали сервис Google Переводчик, который позволяет перевести содержимое сайта и открыть его копию. В первой части адреса такой страницы указывается легитимный домен сервиса, а реальный URL ресурса располагается внутри последовательности служебных символов. Таким образом мошенники пытались убедить жертву, что она находится на сайте Google, и обойти защитные фильтры.

После ввода учетных данных вредоносная страница перенаправила специалиста на другой сайт, имитирующий мобильную версию службы авторизации Facebook. По мнению эксперта, злоумышленники использовали для атаки типовой фишинговый набор, который можно купить или бесплатно скачать в даркнете. В него входят макеты фальшивых сайтов, в код которых необходимо лишь добавить ссылки переадресации и данные электронной почты для передачи похищенных данных.

Фишеры прилагают немало усилий, чтобы их страницы выглядели, как легитимный ресурс. В октябре прошлого года стало известно, что мошенники разместили HTML-файл, имитирующий авторизацию системы Office 365, в облачном хранилище Azure Blob. Открыв его, пользователь видел в адресной строке информацию о соединении, защищенном SSL-сертификатом компании Microsoft, которой принадлежит сервис. При помощи этой уловки киберпреступники рассчитывали убедить жертву, что она находится на сайте разработчика программного обеспечения, и похитить ее учетные данные.