Спецпроекты

ПО Безопасность

Примитивная маскировка под Microsoft позволила массово похитить пароли пользователей

Новая мошенническая кампания явно рассчитана на невнимательность пользователей. Поддельные сообщения лишь отчасти напоминают уведомления Microsoft Office 365, а в качестве исходящего адреса — почему-то домен IBM.

Есть некоторое сходство

Эксперты по безопасности отметили довольно массовую фишинговую кампанию «от лица Microsoft».

На самом деле, мошеннические письма имитируют автоматические уведомления Office 365 о неотправке какого-либо письма — Microsoft found Several Undelivered Messages. Далее в письме предлагается перейти по ссылке Send Again («отправить повторно»).

Пользователи Office 365 действительно получают подобные сообщения, если отправка какого-либо письма не удалась. Однако эти уведомления выглядят несколько иначе. Никакой кнопки Send Again со ссылкой в легитимном уведомлении нет.

А зачем эта красная кнопка?

В фальшивке пользователей, как можно догадаться, перенаправляют на фишинговый сайт, на котором имитируется форма логина в Office 365, причем почтовый адрес пользователя там уже фигурирует, остается только ввести пароль — на радость злоумышленникам.

microsoft600.jpg
Фишинговые письма маскируют под сообщения Office 365

После ввода пароля, функция JavaScript sendmail() отправит почтовый адрес и введенный пароль скрипту sendx.php, а затем снова перенаправит уже на легитимную страницу логина в Office 365 с сообщением о том, что введенный пароль не подходит.

«Это простой и довольно типичный способ серийной кражи паролей, — отмечает Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. — К сожалению, как показывает практика, даже такие незамысловатые финты работают весьма эффективно. В данном случае расчет идет на невнимательность пользователя, а соответственно единственный надежный способ противостоять такому фишингу — это приучить себя перепроверять источники подобных сообщений и сайты, на которые они ведут».

Интересно, что хакеры готовили ловушку относительно небрежно. Эксперт, первым обнаруживший фишинговую компанию, обратил внимание, что уведомление «от Office 365» поступает якобы из доменных адресов IBM в США — Postmaster@us.ibm.com. Однако, учитывая, что Postmaster — это типовое наименование автоматических уведомлений, на то, что находится после @ многие пользователи действительно не обратили бы внимание.

Роман Георгиев

Короткая ссылка