Эксперты RSA обнаружили фишинг с фейсконтролем

Эксперты RSA обнаружили itw готовый комплект для фишинга, использующий нечто вроде белого списка – ограниченного перечня email-адресов, по которому распространяются URL поддельных страниц.

По данным RSA, в минувшем году фишеры провели свыше 445 тыс. атак, на 59% больше, чем в предыдущем. Эти атаки обошлись мировой экономике в 1,5 с лишним млрд. долларов, что на 22% выше прежнего показателя. Фишерский инструментарий постоянно совершенствуется: в 2012 г. на черном рынке появились специальные плагины для проверки работоспособности краденых идентификаторов в реальном времени, а также для составления отчетов об эффективности фишинговых рассылок с помощью легальных аналитических сервисов.

Этот тулкит позволяет атаковать мишени с высокой точностью, оперируя готовыми списками потенциальных жертв. Для каждого получателя фишингового сообщения генерируется личный идентификатор, который встраивается в URL, приведенный в теле письма, и впоследствии служит пропуском на страницу-ловушку. При попытке вызова целевой страницы этот персональный идентификатор сверяется с заданным списком. Для посетителей, включенных в список, тулкит на лету, прямо на взломанном сайте, создает фишинговую страницу, всем прочим воспроизводится сообщение “ошибка 404”. Данные, введенные визитером на фишинговой странице, отсылаются на другой веб-сайт, также контролируемый злоумышленниками. Подобная схема позволяет фишерам получать только нужную информацию, а также продлить время жизни страниц-ловушек посредством ограничения доступа.

RSA зафиксировала несколько фишинговых кампаний, использующих “белые списки” потенциальных жертв – клиентов южноафриканских, австралийских и малазийских банков. Число мишеней каждой из этих кампаний в среднем составило 3 тысячи. По свидетельству экспертов, списки получателей писем-приманок формировались на основе алфавитной выборки, каждый список, как правило, включал имена, начинающиеся на одну и ту же букву. Разнообразие мишеней – списки содержали адреса бесплатной почты, корпоративных и банковских серверов – позволило исследователям предположить, что они были собраны по спамерским базам или хакерским коллекциям.