Web-дефейсеры занялись финансовым мошенничеством

Киберпреступники в Бразилии, да и во всей Латинской Америке, практически всегда используют приемы социального инжиниринга для запуска атак. Время от времени они рассылают фальшивые сообщения от банков или популярных интернет-сервисов. База электронных адресов потенциальных жертв составляется на основе адресов, украденных с зараженных компьютеров, и частично — на основе адресов, хранящихся в базах e-mail-клиентов.

После компиляции электронных адресов мошенники используют различные внешние инструменты, например PHP-интерфейс взломанных веб-серверов.

В процессе своего ежедневного анализа я обнаружил интересный интерфейс для массовой рассылки. Код указывает на то, что он был создан в Бразилии:

Редактируя оригинальный PHP-код, преступник может имитировать “оригинальные заголовки” в посланных им сообщениях. Очень любопытно.

Посмотрим на оригинальный IP-адрес вышеупомянутого домена:

Как видите, в этом случае преступники посылают фальшивые сообщения от имени IG (www.ig.com.br) — очень популярного бразильского ресурса. Они подделывают имя отправителя, оригинальный IP-адрес и даже спам-рейтинг. Таким образом, высока вероятность того, что это сообщение будет доставлено жертве в обход спам-фильтров. Даже самые опытные IT-специалисты могут попасться на эту уловку и поверить, что сообщение пришло от IG.

В процессе анализа кода я обнаружил еще одну интересную вещь, связанную с интерфейсом. Сервис был взломан известным бразильским дефейсером (не буду называть здесь его имя), проявляющим достаточную активность и известным во всем мире. Только за 7 сентября он/она оставил свой «автограф» на 42 различных доменах.

Раньше дефейсеры руководствовались исключительно политическими соображениями. Теперь это уже не так. Сетевые бандиты используют web-дефейсеров как своих аутсорсеров, а конечная цель, конечно, деньги.