Фишинг с фейсконтролем

Эксперты RSA обнаружили itw готовый комплект для фишинга, использующий нечто вроде списка разрешенных – ограниченного перечня email-адресов, по которому распространяются URL поддельных страниц.

По данным RSA, в минувшем году фишеры провели свыше 445 тыс. атак, на 59% больше, чем в предыдущем. Эти атаки обошлись мировой экономике в 1,5 с лишним млрд. долларов, что на 22% выше прежнего показателя. Фишерский инструментарий постоянно совершенствуется: в 2012 г. на черном рынке появились специальные плагины для проверки работоспособности краденых идентификаторов в реальном времени, а также для составления отчетов об эффективности фишинговых рассылок с помощью легальных аналитических сервисов. Новый необычный инструмент, обнаруженный экспертами, – лишнее доказательство тому, что фишеры сделали ставку на технический прогресс.

Этот тулкит позволяет атаковать мишени с высокой точностью, оперируя готовыми списками потенциальных жертв. Для каждого получателя фишингового сообщения генерируется личный идентификатор, который встраивается в URL, приведенный в теле письма, и впоследствии служит пропуском на страницу-ловушку. При попытке вызова целевой страницы этот персональный идентификатор сверяется с заданным списком. Для посетителей, включенных в список, тулкит на лету, прямо на взломанном сайте, создает фишинговую страницу, всем прочим воспроизводится сообщение «ошибка 404». Данные, введенные визитером на фишинговой странице, отсылаются на другой веб-сайт, также контролируемый злоумышленниками. Подобная схема позволяет фишерам получать только нужную информацию, а также продлить время жизни страниц-ловушек посредством ограничения доступа.

RSA зафиксировала несколько фишинговых кампаний, использующих списки разрешенных потенциальных жертв – клиентов южноафриканских, австралийских и малазийских банков. Число мишеней каждой из этих кампаний в среднем составило 3 тысячи. По свидетельству экспертов, списки получателей писем-приманок формировались на основе алфавитной выборки, каждый список, как правило, включал имена, начинающиеся на одну и ту же букву. Разнообразие мишеней – списки содержали адреса бесплатной почты, корпоративных и банковских серверов – позволило исследователям предположить, что они были собраны по спамерским базам или хакерским коллекциям.

Помимо функционала, связанного со списками разрешенных, в новом творении злоумышленников реализованы уже известные технологии. Один из его компонентов позволяет отыскивать незакрытые уязвимости в платформе WordPress, другой – устанавливать административный контроль над взломанным сайтом. По мнению экспертов, новый тулкит не преминет привлечь внимание хакеров, специализирующихся на целевых атаках. Его можно легко приспособить для проведения spear phishing рассылок, обычно предваряющих враждебное вторжение во внутреннюю сеть организации.