Поделиться
Без SMS и регистрации: как злоумышленники используют мобильный трафик для моментальных подписок
Центр кибербезопасности (SOC) hoster.by зафиксировал действия злоумышленников, при которых интернет-пользователей направляют на мошеннические или фишинговые сайты. В зоне повышенного риска оказались владельцы смартфонов, использующие мобильный трафик. Об этом CNews сообщили представители hoster.by.
Одна ссылка — разные сайты
Специалисты SOC обнаружили, что ресурс одного из клиентов взломан. В ходе расследования были найдены вредоносные файлы, которые определяли, с какого устройства пришел пользователь, а также какой интернет он использует – мобильный или нет. При переходе по прямой ссылке с компьютера сайт открывается корректно, а вот при попытке зайти на него со смартфона — происходит перенаправление на мошеннический ресурс с предложениями платных подписок. Быстро обнаружилось, что случай не единичный.
Сами по себе скам и фишинг крайне распространены. Первый включает самые разные способы получения денег или конфиденциальных данных. Фишинг же вводит пользователей в заблуждение, имитируя доверенные и известные сайты. Но именно новая схема вызывает настоящее беспокойство, и вот почему.
«Представьте, что вы вводите интернет-адрес, например, банка и попадаете на предложение оформить услугу или подписку в один клик, — сказал руководитель центра кибербезопасности hoster.by Сергей Самохвал. — При этом услуга не имеет к реальному банку никакого отношения. И, что самое тревожное, подписка действительно оформится моментально, без какой-либо авторизации и подтверждений в виде SMS с кодом, если вы используете мобильный трафик».
Специалисты подчеркивают, что задуматься о защите своих сайтов следует всем, потому что владельцы интернет-площадок обычно даже не подозревают о взломе. А вредоносный код попадает на ресурс задолго до каких-либо ощутимых последствий.
Как вообще знакомый домен может отправить вас на сторонний сайт
Восстановить ход событий не составило труда. Злоумышленники подобрали пароль к административной части сайта и внедрили в него веб-шелл. Это небольшая программа или командная оболочка, которая дает доступ к серверу для выполнения на нем каких-то действий. Она может долго оставаться незамеченной, поэтому разместив его однажды, можно долгое время эксплуатировать веб-ресурс.
Веб-шелл был написан таким образом, чтобы анализировать источник трафика. Он перенаправлял на сторонний ресурс только ту часть, которая использует мобильный интернет. В итоге пользователи стационарного интернета попадали на привычный сайт, а мобильные — на сайт с платными подписками.
В ходе расследования специалисты SOC проанализировали IP-адреса, с которых произвели взлом. Оказалось, что с их помощью было скомпрометировано еще несколько сайтов, на которых обнаружили тот же скрытый редирект.
«Мы оперативно устранили последствия взлома для клиентов центра кибербезопасности и уведомили владельцев тех ресурсов, которые не находятся на обслуживании в нашем SOC. И не устанем повторять, что чтобы свести к минимуму подобные проблемы, крайне важно регулярно менять пароли к административной части сайта и делать их сложными. Следить, чтобы у вас не было учетных записей уволенных сотрудников, которые давно не используются, — сказал Сергей Самохвал, — Также не забывайте сразу обновлять движок сайта, как только выходят обновления. Поскольку очень часто веб-шеллы массово размещают на сайтах через уязвимости, которые закрываются в обновленных версиях. И, конечно же, если вы заметили любые подозрительные изменения на своем сайте, вы всегда можете обратиться в центр кибербезопасности».
Короткая ссылка
