Специалисты правозащитной организации Amnesty International зафиксировали две фишинговые кампании, нацеленные на кражу конфиденциальной информации пользователей из стран Ближнего Востока и Северной Африки. По сообщению ИБ-экспертов, в одном случае киберпреступники пытаются похитить учетные данные аккаунтов Gmail и Yahoo. Злоумышленники используют фальшивые сайты и специализированное ПО, чтобы обмануть жертву и обойти двухфакторную аутентификацию. Вторая кампания направлена против пользователей сервисов ProtonMail и Tutanota, предоставляющих защищенные почтовые ящики. В ряде случаев целью нападения являются профили активистов-правозащитников.

Атака на пользователей Gmail и Yahoo начинается с письма, имитирующего уведомление о подозрительной активности в аккаунте жертвы и содержащего рекомендацию сменить пароль. Ссылка в сообщении ведет на фишинговый сайт, копирующий дизайн почтового сервиса. Пользователю предлагают ввести действующий секретный ключ, задать новый пароль, а в случае с Yahoo еще и подтвердить номер мобильного телефона.

Параллельно злоумышленники авторизуются в профиле жертвы при помощи специального ПО. Если у пользователя включена двухфакторная аутентификация по СМС, на поддельном сайте открывается окно для ввода одноразового кода. Таким образом, фишеры получают все необходимые для входа в аккаунт данные. После окончания процедуры авторизации и смены пароля киберпреступники перенаправляют жертву в ее настоящий почтовый ящик. Анализ журнала событий тестового аккаунта показал, что в действительности пароль от учетной записи был изменен с IP-адреса, расположенного в США.

На одном из серверов, принадлежащих злоумышленникам, эксперты обнаружили незащищенные данные, которые позволили им понять механизм осуществления атаки. По словам специалистов, киберпреступники используют пакет программ Selenium, способный имитировать действия живого человека, такие как нажатие на кнопки и заполнение экранных форм. Легитимное ПО для тестирования приложений и веб-сайтов применяется мошенниками с целью дублирования действий жертвы в реальном аккаунте.

Получив доступ к почтовому ящику, киберпреступники создают в нем пароль приложения (App Password) — специальный ключ, позволяющий входить в профиль, минуя двухфакторную аутентификацию. Он применяется, например, когда пользователь хочет открывать почту через Outlook. Этот пароль позволяет преступникам обращаться к взломанному аккаунту, не привлекая внимание жертвы. В ряде случаев злоумышленники создавали зеркало скомпрометированной базы данных при помощи сервиса ShuttleCloud, чтобы в дальнейшем собирать копии всех новых писем на свой почтовый ящик.

Amnesty International также обнаружила фишинговые атаки, направленные на пользователей защищенных почтовых ящиков сервисов ProtonMail и Tutanota. Злоумышленники развернули фальшивые сайты, в точности повторяющие оформление настоящих площадок, на доменах, похожих на легитимные. Так, для атаки на пользователей Tutanota преступникам удалось завладеть доменом tutanota.org (оригинал зарегистрирован в зоне .com). Как и в случае с Gmail и Yahoo, оставив логин и пароль на поддельном веб-ресурсе, жертва попадала в свой реальный аккаунт.

Эксперты отмечают высокий уровень подготовки вредоносных кампаний. В частности, поддельные страницы ProtonMail и Tutanota, так же как и оригинальные сервисы, использовали действительный SSL-сертификат для создания защищенного соединения. В октябре этого года аналогичную тактику применили злоумышленники, разместившие HTML-файлы, имитирующие форму авторизации на сервере Azure Blob. Используя свидетельство безопасности Microsoft, выданное сервису хранения данных, киберпреступники рассчитывали ввести жертву в заблуждение и похитить ее пароль.

Категории: Мошенничество, Спам, Хакеры