Про нову фішингову кампанію, націлену на користувачів iOS-пристроїв, попередив дослідник з безпеки Антуан Весан Жебар (Antoine Vincent Jebara), повідомляє SecurityLab. За словами дослідника, нова кампанія націлена на власників iOS-пристроїв, але з легкістю може бути адаптована під Android.

Минулого місяця Жебар розповів про аналогічну кампанії, під час якої зловмисники настільки майстерно підробляли сторінку авторизації Facebook, що на гачок потрапили навіть найпильніші користувачі. Шахраям вдалося створити реалістичну копію вікна браузера в Javascript і за допомогою обману змусити користувачів вводити свої облікові дані в форму авторизації OAuth.

Створена зловмисниками сторінка запитує облікові дані для входу в Facebook нібито для того, щоб з їх допомогою авторизуватися на сайті, зовні схожий на Airbnb. Однак це може бути й будь-який інший сайт, попереджає дослідник.

Після того, як користувач натиснув на кнопку “Login with Facebook”, ОС вимагає підтвердження дії. Далі браузер Safari відкриває нову вкладку і запитує облікові дані Facebook. Вся процедура цілком могла б зійти за легітимну, проте всі вищеописані дії – чистої води шахрайство.

Запит на підтвердження дії від ОС насправді є підробленими та насправді є зображенням всередині HTML-документа, що виглядає, як справжній запит від iOS.

Відкриття нової сторінки в Safari – теж підробка. Насправді це відеозапис відкриття сторінки, відтворюється відразу після натискання жертвою кнопки “Підтвердити”. Підробкою також є відкрита сторінка Facebook, що відображається поверх поточної сторінки.

З моменту, коли користувач потрапив на шкідливий сайт, йому пропонується здійснити цілий ряд таких знайомих і нешкідливих на перший погляд дій, і все це для того, щоб в результаті змусити його беззастережно “видати” зловмисникам свої облікові дані.

Нагадаємо, практика реєстрації через Facebook або інші соцмережі використовується багатьма сайтами для спрощення реєстрації в сторонньому сервісі. Шкідливі блоги і online-сервіси після вибору опції “Вхід через Facebook” пропонують користувачам досить реалістичну фальшиву форму авторизації Facebook, що збирає введені логін і пароль (так само, як і будь-який інший фішинговий сайт).

Також популярні Android-додатки відправляють персональні дані користувачів безпосередньо Facebook відразу ж після авторизації. Передача даних здійснюється навіть у випадку, якщо користувач не авторизований у додатку Facebook на пристрої або зовсім не має активного облікового запису в соцмережі.