Исследователи из Trend Micro обнаружили в японском секторе Интернета фишерские ловушки, созданные необычным способом. Вместо копии целевого интернет-магазина злоумышленники используют специальную страницу с проксирующей программой, которая при просмотре контента передает запросы пользователя на сервер оригинала; модифицированные, фишинговые страницы отображаются лишь в том случае, если посетитель решит провести платеж. Нововведение позволяет фишерам создавать очень убедительные ловушки с минимальными трудозатратами; кроме того, в сравнении с обычными фиш-имитациями такой подлог труднее обнаружить.

До сих пор для создания ловушки фишеру приходилось изрядно повозиться: копировать HTML-код целевого сайта, вносить нужные изменения, регистрировать собственный домен (поддомен) или компрометировать легитимный ресурс, чтобы обеспечить веб-хостинг. Притом для атаки на интернет-магазин с разными разделами (одежда, продукты питания, музыка) злоумышленник, как отмечают эксперты, должен был создавать не одну, а несколько имитаций — по числу этих разделов.

Новая техника позволяет фишеру обойтись одним хостинг-доменом и атаковать сразу много мишеней. Фишинговый URL при этом включает уникальный идентификатор релей-атаки и преобразованный в base64 адрес атакуемого сайта:

http://{фиш-домен}/clothes/tslyphper{URL целевого сайта}.html,

где tslyphper сигнализирует, что данный URL задействован в прокси-схеме.

Эксперты отмечают, что такой способ атаки достаточно прост и не зависит от типа устройства или браузера, используемых потенциальной жертвой. Атакующий проксирует все части ее HTTP-запроса и все составляющие ответа легитимного сервера. Чтобы завлечь пользователя в ловушку, злоумышленники применяют черную оптимизацию, обеспечивая своим страницам приоритет в поисковой выдаче.

Для проведения атаки, которую обнаружила Trend Micro, фишерам пришлось переписать функцию Add to Basket («Добавить в корзину»). При этом стоимость выбранного жертвой товара на поддельной странице была умышленно занижена — видимо, чтобы сделать покупку более привлекательной. Обычно кнопка Add to Basket обеспечивает HTTPS-соединение с продуктовой корзиной; посетитель модифицированной страницы, задействующий эту функцию, попадет на другую страницу фишеров, причем по незащищенному (HTTP) каналу.

Все последующие веб-формы, которые обычно отображаются согласно процедуре оформления покупки, тоже являются подделками; введенные в них данные попадут прямиком к фишерам. Для поддержания иллюзии легитимности покупателю даже высылают стандартное благодарственное письмо, подтверждающее «заказ», — на тот адрес, который жертва оставила фишерам.

Trend Micro удалось обнаружить лишь одну мишень креативных фишеров — японский интернет-магазин. Судя по некоторым признакам, данная атака проводилась с территории Китая. Поскольку новый метод позволяет без особых усилий создавать жизнестойкие реплики, максимально приближенные к оригиналу, эксперты опасаются, что это начинание может быть замечено и взято на вооружение в фишерских кругах.

Категории: Главное, Мошенничество