Инциденты

Фишинг в личных сообщениях Twitter

У меня сложилось впечатление, что в последнее время фишинговых атак в социальных сетях стало меньше, чем раньше. Но сегодня, как только я зашёл в Twitter, я заметил, что получил два личных сообщения с очень похожим содержанием.

Первое сообщение пришло два дня назад. Я попытался проверить, ведет ли ссылка на ресурс, распространяющий вредоносное ПО, или на фишинговый сайт, но она была уже неактивна. Поэтому когда я получил второе сообщение, я проверил ссылку сразу же – сейчас, когда я это пишу, фишинговый сайт ещё активен.

По своей структуре сообщения были похожи. Единственное отличие заключалась в выборе сервиса сокращения ссылок (использовались сервисы bit.ly и y.ahoo.it), да ещё в тексте письма было изменено одно слово.

«hey, someone is spreading nasty rumours about you URL»
«hey, someone is spreading terrible rumours about you URL»

Текст сообщений:

Слушай, кто-то распространяет о тебе грязные слухи. ССЫЛКА
Слушай, кто-то распространяет о тебе ужасные слухи. ССЫЛКА

Что же случится, если кликнуть по ссылке в сообщении? Вас перенаправят на веб-сайт http://twi[УДАЛЕНО]er.com/, где размещена поддельная страница входа в Twitter; если вы введете свои логин и пароль, то они окажутся в руках киберпреступников. Украденные учетные данные, скорее всего, будут использованы для того, чтобы найти новых жертв – возможно, в том числе и в других социальных медиа.

Введя пароль, жертва попадает на фальшивую веб-страницу с сообщением об ошибке 404 («Такой страницы не существует»). Всего через 2 секунды пользователь перенаправляется на настоящую страницу входа в Twitter.

В первом сообщении, которое я получил, сокращенный URL-адрес вёл на домен, очень похожий по виду на тот, который используется в новой, сегодняшней рассылке. Домен в первом сообщении выглядел как http://tviwtter.com/. Это признак того, что обе рассылки организованы одними и теми же кибермошенниками.

Мои коллеги в «Лаборатории Касперского» сообщают, что в Facebook сейчас тоже наблюдается волна фишинговых атак. Пока непонятно, связаны ли эти две кампании между собой.

Ниже для примера размещен скриншот фишинговой страницы:

Сейчас мы заняты тем, что собираем другие ссылки, используемые в данной рассылке. Если вам известны такие URL-адреса, пожалуйста, сообщите их нам. Вы можете написать мне в Twitter – @JacobyDavid.

И, как всегда, будьте осторожны при вводе учётных данных на любом сайте.

Фишинг в личных сообщениях Twitter

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике