Экстремальный фишинг

Появившиеся в Netscape 8 и IE7 нововведения существенно усложнили жизнь фишеров. В мире вредоносных программ новые технологии стимулируют разработку новых способов сокрытия чужеродного кода от взора пользователей и антивирусов. Судя по полученным нами недавно электронным письмам, нечто подобное происходит сейчас и в сфере фишинга.

Наш коллега Майкл Молснер из Японии получил странное фишинг-письмо на свой адрес. Послание якобы пришло от PayPal и содержит стандартные для фишинга призывы «обезопасить себя от мошенников». Интересна ссылка на поддельную страницу, расположенную по адресу www.aafe.cn — Academy of Armoured Force Engenering.

В то время как сам сайт www.aafe.cn полностью легален, страница, на которую ведет ссылка из этого письма — нет. Эта страница перенаправляет браузер на адрес http://www.skycar.net.cn/, на котором содержится любопытный JavaScript.

Скрипт открывает окно браузера на весь экран и загружает следующую страницу:

Как видите, в окне есть поле адреса, в котором написано «https://www.paypal.com/us», но дело в том, что это — ненастоящее поле! Это поле создается Java-апплетом, и сделано оно так, чтобы выглядеть частью окна браузера. Обратите внимание на настоящий адрес этой страницы, отображаемый Opera на синей линейке — www.skycar.net.cn. Подобная маскировка вполне может обмануть неаккуратных пользователей.

Интересно, что Firefox также не поддается этому обману — поддельная строка адреса показывается какое-то непродолжительное время, после чего убирается с экрана.