Эксперты по безопасности из PhishLabs столкнулись с новым видом фишинговых атак, рассчитанных на пользователей мобильных устройств. Под удар попали преимущественно пользователи социальной сети Facebook.
Проблема кроется в самих мобильных устройствах. Поскольку их экраны не очень велики, URL-адреса зачастую отображаются не полностью. Этим злоумышленники и воспользовались, подставив в «невидимую» часть адреса блоки дефисы и субдоменные адреса.
Вот пример URL, задействованного в фишинговой атаке:
hxxp://m.facebook.com—————-validate—-step1.rickytaylk[dot]com/sign_in.html
Реальный домен, куда попадет пользователь — «rickytaylk.com», а не «m.facebook.com». Так как мобильный браузер показывает только первую часть адреса (m.facebook.com), у пользователя не возникает никаких сомнений. Перейдя по ложному адресу, пользователь попадает на копию страницы авторизации Facebook, где вводит свои логин и пароль.
Атака рассчитана на невнимательных пользователей
Эксперты PhishLabs сообщают, что зачастую профили атакованных пользователей использовали для рассылки спама, а также для рассылки фишинг-страниц «друзьям» жертвы.
Атака была нацелена в основном на пользователей Facebook, но известны случаи использования адресов сайтов Apple iCloud, Comcast, Craigslist и OfferUp:
hxxp://login.Comcast.net——-account-login-confirm-identity.giftcardisrael[dot]com/
hxxp://accounts.craigslist.org-securelogin—————viewmessage.model104[dot]tv/craig2/
hxxp://offerup.com——————login-confirm-account.aggly[dot]com/Login%20-%20OfferUp.htm
hxxp://icloud.com———————secureaccount-confirm.saldaodovidro[dot]com.br/
Мобильные устройства более уязвимы для фишинг-атак
Крэйн Хассолд, эксперт, подробно описавший данный фишинг-прием, назвал причину эффективности атаки:
Пока вы не перейдете по ссылке, вы не сможете определить, является ли она безопасной. А если вы даже и перешли, то «конец» адреса все равно скрывается мобильным браузером.
Многие ссылки были разосланы по СМС. Некоторые мобильные браузеры и мессенджеры обладают функцией показа полного адреса по долгому нажатию на адрес ссылки, но большинство СМС-приложений так не умеют.
