Из-за ошибки хакеров похищенные ими данные стали доступны через Google
21 января 2021 года
Хакеры, атаковавшие тысячи организаций по всему миру в рамках масштабной фишинговой кампании, забыли защитить свой «улов», в результате чего он стал доступен через поиск Google.
В продолжавшейся более полугода фишинговой кампании использовались десятки доменов с поддельными страницами авторизации Microsoft Office 365. Несмотря на использование очень простых техник, злоумышленникам удавалось успешно обходить фильтры безопасности для электронных писем, благодаря чему они собрали как минимум 1 тыс. логинов и паролей для авторизации в корпоративных учетных записях Microsoft Office 365.
Как обнаружили специалисты Check Point и Otorio, изучившие данную фишинговую кампанию, хакеры по ошибке сделали похищенные данные доступными через открытый интернет. По словам экспертов, злоумышленники сохранили похищенную информацию на специально зарегистрированных для этого доменах, но разместили данные в публично доступном файле, и поисковая система Google его проиндексировала.
Исследователи также обнаружили, что злоумышленники взломали легитимные WordPress-серверы с целью использования их для хостинга фишинговых PHP-страниц. Как пояснили эксперты, киберпреступники предпочитают использовать взломанные серверы вместо собственной инфраструктуры из-за хорошей репутации скомпрометированных сайтов.
Изучив информацию примерно из 500 записей, исследователи смогли определить, что жертвами фишинговой кампании чаще всего становились компании в сфере строительства (16,7%), энергетики (10,7%) и информационных технологий были (6,0%).
С целью заманить жертв на мошеннические страницы, злоумышленники использовали в фишинговых письмах несколько тем. В поле «Тема» указывалось имя жертвы или название компании, а во вложении содержалось отсканированное уведомление в формате HTML.
После открытия вложения через web-браузер по умолчанию появлялось размытое изображение, поверх которого открывалась поддельная форма авторизации в Microsoft Office 365. «Этот документ защищен паролем. Пожалуйста, введите пароль», - сообщалось в форме авторизации. Поле имени пользователя уже было заполнено адресом электронной почты жертвы, и у жертвы не возникало никаких подозрений.
Запущенный в фоновом режиме JavaScript-код проверял подлинность введенных жертвой учетных данных, отправлял их на подконтрольный злоумышленникам сервер и для отвлечения внимания переадресовывал жертву на настоящую страницу авторизации в Microsoft Office 365.
Для обхода обнаружения хакеры рассылали фишинговые письма из скомпрометированных почтовых ящиков. К примеру, в одной из атак злоумышленники выдавали себя за немецкого хостинг-провайдера IONOS by 1&1.Хотя фишинговая кампания началась в августе 2020 года, исследователи также обнаружили фишинговые письма, датированные маем 2020 года.
Источники[править]
Эта статья содержит материалы из статьи «Из-за ошибки хакеров похищенные ими данные стали доступны через Google», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.