Новая атака с подделкой HTTP-запроса угрожает пользователям браузеров
Главная » Новости

Новая атака с подделкой HTTP-запроса угрожает пользователям браузеров

Екатерина Быстрова 12 Августа 2022 - 12:14
...
Новая атака с подделкой HTTP-запроса угрожает пользователям браузеров

Специалист по кибербезопасности Джеймс Кеттл предупреждает о новом способе использования HTTP-запросов в ходе кибератак на браузеры пользователей. Ранее Кеттл уже демонстрировал метод эксплуатации обработки HTTP-запросов со стороны веб-сайтов.

Эти так называемые атаки десинхронизации используют разногласия в том, как фронтенд и бэкенд сайта с одной стороны и фронтенд сервера — с другой интерпретирует HTTP-запросы. Эксплуатация таких нестыковок может перенаправить запросы компоненту бэкенда.

В результате для атакующего открывается целый спектр вредоносных действий: кража учётных данных, вызов неожиданных ответов от приложения и т. п. Год назад Кеттл описывал этот вектор в одной из своих статей.

Новое исследование специалиста строится на том, как киберпреступник может использовать те же проблемы обработки некорректного HTTP-запроса в ходе атак на посетителей веб-ресурсов. По словам эксперта, с помощью этого метода злоумышленники могут украсть учётные данные, установить бэкдоры и в целом скомпрометировать систему условного пользователя.

Согласно описанию Кеттла, атаки десинхронизации можно провести на Amazon.com и другие сайты, использующие AWS Application Load Balancer, Cisco ASA WebVPN, Akamai, Varnish Cache и Apache HTTP Server 2.4.52 и более старые версии.

Главное отличие атак десинхронизации на стороне сервера и на стороне клиента заключается в том, что в первом случае у злоумышленника под контролем должны быть системы с обратным прокси, а во втором ему потребуется специально сформированные запросы.

Для пользователя эти атаки опасны тем, что происходят непосредственно в его браузере. Кеттл продемонстрировал proof-of-concept, с помощью которого он смог перехватить токены аутентификации случайных пользователей на сайте Amazon.

В двух видеороликах специалист также показал атаку на Pulse Secure VPN и MITM на Apache (обе на стороне клиента):

 

С подробным техническим разбором этого вектора атаки можно ознакомиться в отчёте Джеймса.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники крадут деньги под видом «кино на расстоянии» в Telegram
Екатерина Быстрова 01 Июля 2025 - 12:21
МошенничествоОнлайн-мошенничество Домашние пользователи F6
Мошенники крадут деньги под видом «кино на расстоянии» в Telegram

Компания F6 зафиксировала новую схему интернет-мошенничества, которая нацелена на пользователей из России. Злоумышленники знакомятся в соцсетях или на сайтах знакомств, представляются симпатичной девушкой из крупного города и предлагают провести «романтический вечер» за просмотром фильма онлайн.

Для этого жертве присылают ссылку на фейковую платформу, где нужно якобы оплатить подписку. А дальше — классика: данные карты попадают к мошенникам, а деньги — с карты исчезают.

Такой сценарий — вариация на старую схему под названием «антикино», только теперь адаптированную под популярные сервисы совместного просмотра фильмов. «Девушки» из этих «знакомств» часто используют фото реальных людей, слегка отредактированные, чтобы избежать блокировок. Иногда берут и чужие видео, и голосовые сообщения, загруженные из Telegram.

Как всё происходит:

  1. «Знакомство» начинается в соцсетях или на сайтах, переписка быстро переходит в Telegram.
  2. Мошенник пишет, что не может встретиться лично — то болеет, то в другом городе, то просто устала. Но предлагает провести вечер за фильмом — через специальный сервис.
  3. Жертве отправляют ссылку на сайт, очень похожий на настоящий.
  4. Дальше — два варианта развития событий:

Для пользователей iPhone:
Открывается сайт rave-film[.]com, где нужно выбрать тип устройства и подключиться к «комнате» для просмотра. После этого появляется окно с просьбой оформить подписку (например, на 50–100 рублей). Для оплаты нужно ввести данные банковской карты. Мошенники получают эти данные, но чтобы вывести деньги, ещё пытаются выманить код из СМС.

Для пользователей Android:
Ссылка ведёт в фейковый магазин приложений, где под видом RAVE предлагают установить APK-файл. На деле это вредоносное приложение, которое перехватывает входящие СМС. После ввода данных карты деньги могут уйти буквально за пару минут — коды подтверждения перехватываются автоматически.

По данным F6, с начала года более 40 человек уже попались на эту схему, общий ущерб составил 343 тысячи рублей. В среднем каждый пострадавший терял около 8 тысяч.

По словам аналитиков, скамеры всё чаще отказываются от схем, где нужно звать жертву на живое свидание или просить купить билеты. Люди привыкли к дистанционному общению и совместному досугу онлайн, а значит — и обман на этой почве стал проще.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
CISA продлило финансирование CVE, для поддержки проекта создан новый фонд
Новость
CISA продлило финансирование CVE, для поддержки проекта созд...
Эксперт НАФИ назвала самые опасные схемы, связанные с поиском работы
Новость
Эксперт НАФИ назвала самые опасные схемы, связанные с поиско...
Новый шпионское приложение для Android не даёт удалить себя без пароля
Новость
Новый шпионское приложение для Android не даёт удалить себя...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.