Як правило, користувачі, що піклуються про безпеку власних даних, перш ніж увести логін і пароль в форму авторизації на будь-якому сайті, звертають увагу на кілька факторів, наприклад, коректність URL і реалізацію HTTPS на сайті або використовують різні браузерні розширення, що визначають фішингові домени. Однак нещодавно експерти помітили нову фішингову кампанію, яка може ввести в оману навіть найбільш пильних користувачів, пише SecurityLab.
За словами фахівця компанії-розробника менеджера паролів Myki Антуана Венсана Жебара (Antoine Vincent Jebara), зловмисники розповсюджують посилання на блоги та сервіси, де користувачам спершу потрібно зареєструватися через обліковий запис в Facebook для того, щоб прочитати публікацію або придбати товар зі знижкою.
Практика реєстрації через Facebook або інші соцмережі використовується багатьма сайтами для спрощення реєстрації в сторонньому сервісі. Зазвичай при натисканні на опцію “Вхід через Facebook” відбувається або переадресування на сайт facebook.com або у вікні браузера з’являється вікно, де потрібно ввести облікові дані Facebook для аутентифікації і дозволу сервісу отримати доступ до потрібної інформації в профілі.
Як виявив експерт, шкідливі блоги і online-сервіси після вибору опції “Вхід через Facebook” пропонують користувачам досить реалістичну фальшиву форму авторизації Facebook, що збирає введені логін і пароль (так само, як і будь-який інший фішинговий сайт).
Фальшива форма, створена за допомогою HTML і JavaScript, є відмінною імітацією вікна в браузері, включаючи рядок стану, панель навігації, URL і навіть зелений замок, який вказує на використання HTTPS. Більш того, користувачі навіть можуть взаємодіяти з вікном, перетягувати його в різні боки або закрити його так само, як і легітимні вікна.
Єдина можливість розпізнати фальшиве діалогове вікно – спробувати перетягнути його за межі вікна в браузері, в якому воно відображається. Фальшиве вікно перетягнути не вийде, оскільки воно є частиною шкідливої сторінки, пояснив фахівець.
До речі, нову фішингову кампанію організували зловмисники, розсилаючи користувачам електронні листи з неймовірно довгим URL-посиланням. Згідно з повідомленням, електронну адресу користувача начебто внесено до чорного списку через численні невдалі спроби авторизації. Жертву спонукають пройти за посиланням і “підтвердити” свої облікові дані, інакше її обліковий запис буде видалено.