Фишеры крадут данные через поддельное окно входа в Facebook

Исследователи из ливанской компании Myki сообщили о фишинговой атаке, для которой злоумышленники создали неотличимую от настоящей форму авторизации Facebook. Визуально она полностью копирует всплывающее окно для входа в соцсеть: навигационную панель, строку состояния, URL и даже зеленый замок, подтверждающий использование защитного протокола HTTPS.

Афера попала в поле зрения специалистов после того, как от пользователей менеджера паролей Myki стали поступать жалобы на то, что приложение отказывалось автоматически заполнять формы на некоторых сайтах. По словам Антуана Винсента Джебары (Antoine Vincent Jebara), генерального директора компании, это насторожило работников сервиса, и они решили провести расследование.

Результаты проверки показали, что никакого сбоя в работе программы нет. Myki не подставляет пароли, потому что форма входа не имеет отношения к Facebook. Всплывающие окна появлялись на вредоносных сайтах для кражи данных пользователей. Злоумышленники предлагали посетителям авторизоваться через учетную запись в социальной сети, чтобы получить доступ к содержимому ресурса или ознакомиться со скидками на товар.

Форма выглядела очень реалистично. Она не только полностью повторяла внешний вид и содержимое легального приглашения, но также давала возможность перетаскивать окно по экрану или совсем закрыть. Однако после ввода логина и пароля данные отправлялись не в Facebook, а злоумышленникам.

Так как преступники смогли обойти даже рекомендуемый специалистами способ проверки подлинности при помощи протокола HTTPS, этот метод может быть опасен даже для самых бдительных пользователей. «Единственный способ защититься от такой атаки — попробовать перетащить форму за пределы окна браузера, в котором она отображается, — пояснил Джебара. — Если сделать это не получится, то диалоговое окно явно фальшивое». Такая проверка возможна, поскольку форма является HTML-блоком, то есть частью вредоносного сайта.

Злоумышленники постоянно расширяют арсенал уловок, позволяющих успешно проводить фишинговые атаки. Так в 2019 году они использовали для маскировки фальшивые шрифты, в 2018-м перенесли на мобильные устройства технику подмены латинских букв символами Unicode, а также нашли способ обходить фильтры почтовых серверов.

Источник: https://threatpost.ru/phishers-steal-data-via-fake-facebook-login-window/31198/