Открытые редиректы играют на руку спамерам

Открытые редиректы играют на руку спамерам

Эксперты Dell SecureWorks и Symantec обнаружили спам-рассылку, использующую URL с доменом высшего уровня, выделенным правительственным учреждениям США. Как оказалось, спамеры используют открытые редиректы на правительственных сайтах и сервис коротких ссылок 1.USA.gov, учрежденный правительством США в партнерстве с Bit.ly.

Текст спамерских писем содержит малоинформативную фразу, единственным назначением которой является побуждение к действию – к активации короткой ссылки, использующей имя 1.USA.gov. Судя по краткому описанию, размещенному на официальном портале правительства США, этот сервис был создан для упрощения процедуры сокращения URL, привязанных к таким зонам, как gov и .mil. Получить короткий URL с доменом 1.USA.gov теперь можно через bitly.com, введя исходный адрес и нажав кнопку на сокращение. Регистрироваться при этом не нужно, чем и воспользовались кибермошенники, сообщает securelist.com.

Наличие уязвимости, позволяющей веб-приложению перенаправлять запрос на сторонний сайт (т. наз. открытый редирект), на ряде правительственных сайтов облегчило задачу спамерам. Им достаточно было лишь вставить в легитимную ссылку http-параметр, содержащий целевой URL, преобразуя ее в формат вида

[http://]labor.vermont.gov/LinkClick.aspx?link=http://workforprofit.net/[REMOVED]/?wwvxo,

а затем сократить длинный адрес через Bit.ly до совсем невинного облика.

Страница, указанная спамерским URL, имитирует новостной сайт: для ее оформления спамеры позаимствовали часть оригинального html-кода с работающими ссылками. Ловушкой является текст основной статьи, повествующей о легком заработке. Все приведенные в нем ссылки ведут на мошеннический сайт трудоустройства. Обычно такие ресурсы запрашивают много информации личного характера или вербуют "денежных мулов".

По данным SecureWorks, источником открытого редиректа, играющего на руку спамерам, является файл LinkClick.aspx – программа, работающая в рамках open-source системы управления контентом DotNetNuke (DNN). Это приложение позволяет сохранять ссылку, привязанную к файлу на сайте, при его перемещении и отслеживать статистику запросов. SecureWorks насчитала 7 gov-сайтов с открытым редиректом, задействованных спамерами. Страницы-имитации, указанные с помощью коротких ссылок, размещены, в основном, в зоне .net. Все соответствующие домены, общим числом около десятка, преобразуются в несколько IP-адресов, включая адрес в сетях московского comcor.ru (АКАДО).

Сокращенные ссылки, используемые в рамках текущей спам-кампании, быстро меняются – во избежание блокировки и занесения поддельных сайтов в черные списки. Согласно статистике 1.USA.gov, за неделю мошеннических рассылок спамерские URL были активированы свыше 43 тыс. раз. В этот период на их долю пришлось 15,1% кликов по коротким ссылкам 1.USA.gov. В 85% случаев Symantec смогла определить географический источник такого запроса. Оказалось, что спамерам удалось привлечь на свои страницы посетителей из 124 стран, в том числе из США (61,7%), Канады (23,4%), Великобритании (5,3%) и Австралии (4,5%).

Управление делами правительства США (General Services Administration), оператор портала USA.gov, уже принимает надлежащие меры: совместно с Bit.ly решает проблему абьюза коротких ссылок, заблокировало спамерские страницы и помогает администраторам сайтов с открытыми редиректами устранить уязвимость.

Мошенники пугают россиян блокировкой СБП и требуют коды из СМС

Телефонные мошенники снова нашли тему, которая звучит достаточно сложно, чтобы человек растерялся. Теперь россиян запугивают якобы подозрительной активностью в цепочке переводов и грозят блокировкой доступа к Системе быстрых платежей.

О новой схеме РИА Новости рассказали в пресс-службе платформы «Мошеловка» Народного фронта.

Потенциальной жертве звонят или пишут лжесотрудники банка, контролирующего органа или другой важной структуры. Дальше начинается спектакль про подозрительные переводы, технический сбой или проблемы с идентификацией. Жертве сообщают, что из-за этого доступ к СБП могут заблокировать.

Чтобы срочно всё исправить, мошенники предлагают пройти верификацию через специальный сервис. На деле под этим предлогом они пытаются выманить код из СМС, заставить установить вредоносное приложение под видом официального инструмента или убедить перевести деньги на безопасный счёт.

В «Мошеловке» отмечают, что схема особенно актуальна в июле: злоумышленники используют тему интеграции налоговых идентификаторов в банковские системы и рассчитывают на то, что большинство клиентов не знает технических деталей работы СБП.

Главное правило здесь простое: никаких дополнительных подтверждений для работы Системы быстрых платежей пользователю проходить не нужно. Обмен данными между ведомствами и банками происходит автоматически, без звонков с просьбами назвать код или установить приложение.

Если собеседник говорит о блокировке переводов, просит код из СМС, требует поставить программу или перевести деньги на резервный счёт, разговор лучше сразу закончить. А потом самостоятельно позвонить в банк по номеру с официального сайта или из приложения.

RSS: Новости на портале Anti-Malware.ru