Иранские хакеры применяют фишинговую схему для взлома аккаунтов Gmail
Хакеры из Ирана разработали сложную фишинговую схему для обхода средств защиты ученых записей в Gmail, сообщается в отчете специалистов лаборатории Citizen Lab, работающей в рамках научного центра Munk School of Global Affairs при Университете Торонто. По сути, тактика не является инновационной – нечто подобное уже использовалось в прошлом в атаках на финансовые организации.
Новый метод предполагает использование телефонов и электронной почты для обхода двухфакторной аутентификации, реализованной Google. Большинство атак начинаются с телефонного звонка с британского номера, причем звонящий может разговаривать как на английском языке, так и на фарси. Эксперты отмечают, что атакующие прекрасно осведомлены об активности жертвы, а их тактика сходна с методами, используемыми иранскими хакерскими группировками.
В ходе атаки преступники пытаются завладеть паролем пользователя и одноразовым 2FA-кодом. В одном из сценариев хакеры используют фальшивые страницы, имитирующие процесс аутентификации Gmail, и похищают вводимые пользователем данные, одновременно осуществляя попытки зайти на настоящую страницу Gmail. Таким образом злоумышленникам удается получить подлинный 2FA-код.
По другому сценарию атака начинается с телефонного звонка по ходу которого неизвестный, говорящий на фарси, предлагает жертве выгодное сотрудничество, при этом демонстрируя полную информированность о профессиональной деятельности пользователя и его хобби. Затем хакер отправляет «деловое предложение» на личный электронный адрес жертвы. Письмо весьма напоминает уведомление Google Drive с прикрепленным к нему документом. Ссылка на документ ведет на страницу регистрации Google Drive, где в соответствующих полях уже указаны электронный адрес и имя пользователя. При нажатии на опцию «Просмотр документа» отображается фальшивая страница авторизации Gmail.
По словам старшего исследователя Citizen Lab Джона Скотт-Рэилтона (John Scott-Railton), атаки, по всей видимости, являются политическими, поскольку список жертв злоумышленников включает руководителя некоммерческой правозащитной организации Фонд Электронных Рубежей и иранских активистов.