Προγραμματισμός

Οι απατεώνες phishing εκμεταλλεύονται τη φιλοξενία ιστοσελίδων Wix

Οι εγκληματίες στον κυβερνοχώρο επιθυμούν να ανατρέψουν νόμιμες διαδικτυακές υπηρεσίες όπως τα Έγγραφα Google και το Dropbox για να πραγματοποιήσουν τις κακόβουλες δραστηριότητές τους. Η δωρεάν εταιρεία φιλοξενίας ιστότοπων Wix είναι η τελευταία προσθήκη στη λίστα των υπηρεσιών που έχουν κάνει κατάχρηση.

Ερευνητές από την εταιρεία ασφαλείας Cyren διαπίστωσαν ότι οι απατεώνες δημιουργούσαν ιστότοπους ηλεκτρονικού ψαρέματος (phishing) που είχαν σχεδιαστεί για τη συλλογή διαπιστευτηρίων σύνδεσης του Office 365 μέσω του Wix, το οποίο προσφέρει έναν απλό επεξεργαστή κλικ και μεταφοράς για τη δημιουργία ιστοσελίδων. Όπως συμβαίνει συνήθως με δωρεάν υπηρεσίες, οι εγκληματίες εκμεταλλεύονται αυτά τα εργαλεία για να εκτελέσουν τις δραστηριότητές τους.

Ο ιστότοπος ηλεκτρονικού ψαρέματος μοιάζει με ένα νέο παράθυρο προγράμματος περιήγησης που ανοίγει σε μια σελίδα σύνδεσης του Office 365. Στην πραγματικότητα, είναι ένα στιγμιότυπο οθόνης μιας σελίδας σύνδεσης του Office 365 με επεξεργάσιμα πεδία επικαλυμμένα στην εικόνα. Οι χρήστες θα πιστεύουν ότι ο ιστότοπος είναι νόμιμος και εισάγουν τα διαπιστευτήρια σύνδεσης, εκτός από τις πληροφορίες που εισάγονται στα πεδία στην επικάλυψη και όχι στην πραγματική σελίδα του Office 365.

Στην επιφάνεια εργασίας, η επικάλυψη είναι ωραία, αλλά το γεγονός ότι τα πεδία είναι ξεχωριστά από την εικόνα είναι πολύ πιο εμφανές στην κινητή συσκευή, είπε η Cyren.

Οι εγκληματίες σκέφτονται επίσης τρόπους να μείνουν κάτω από το ραντάρ του Wix. Για παράδειγμα, δεν υπάρχει κείμενο στη σελίδα - είναι μια εικόνα - και το πεδίο κωδικού πρόσβασης έχει ορθογραφικά λάθη ως "passvvord". Οι εισβολείς μπορεί να έχουν λάβει αυτές τις αποφάσεις με την υπόθεση ότι το Wix έχει μια αυτόματη διαδικασία σάρωσης που ελέγχει το περιεχόμενο του ιστότοπου για να επισημάνει δυνητικά κακούς ιστότοπους.

Οι επιτιθέμενοι μπορεί να έχουν σχεδιάσει τις σελίδες για να κάνουν τον χρήστη να σκεφτεί ότι κάτι είχε ανοίξει ένα νέο παράθυρο του προγράμματος περιήγησης, δήλωσε ο ερευνητής της Cyren, Avi Turiel. Θα μπορούσε επίσης να είναι ένα σημάδι τεμπελιάς, με τον εισβολέα να παίρνει ένα στιγμιότυπο οθόνης της αρχικής σελίδας σύνδεσης και να μην ενοχλεί να επεξεργαστεί την εικόνα. «Ίσως είναι μια δοκιμή να δούμε αν λειτουργεί, γι 'αυτό καταβλήθηκε λιγότερη προσπάθεια», είπε ο Turiel.

Οι εγκληματίες θέλουν να φιλοξενούν κακόβουλο λογισμικό σε υπηρεσίες αποθήκευσης cloud ή να χτίζουν την υποδομή επίθεσης με νόμιμους παρόχους για να παρακάμψουν κοινές άμυνες ασφαλείας. Οι χρήστες —ακόμα και εκείνοι που έχουν εκπαιδευτεί να ελέγχουν συνδέσμους για πιθανές επιθέσεις ανεπιθύμητων μηνυμάτων ή ηλεκτρονικού ψαρέματος — δεν σκέφτονται δύο φορές να κάνουν κλικ σε συνδέσμους προς δημοφιλείς τομείς και υπηρεσίες, επειδή είναι υποχρεωμένοι να συνεργάζονται με αυτά τα εργαλεία. Οι οργανισμοί επίσης δεν μπορούν να αποκλείσουν εντελώς δημοφιλείς τομείς και παρόχους υπηρεσιών που έχουν υιοθετηθεί ευρέως. Σε ορισμένες περιπτώσεις, τα προϊόντα ασφάλειας ιστού ενδέχεται να μην σαρώσουν ακόμη και τις διευθύνσεις URL επειδή τα προϊόντα θεωρούνται αξιόπιστα.

Βοηθά επίσης ότι αυτές οι υπηρεσίες είναι δωρεάν. Οι επιτιθέμενοι επωφελούνται από έναν έγκυρο τομέα χωρίς να χρειάζεται να ξοδέψουν χρήματα.

Η Cyren δεν ήξερε πώς στέλνονται οι χρήστες στις σελίδες Wix. Μια ανακατεύθυνση προγράμματος περιήγησης ή μια καμπάνια κοινωνικής μηχανικής θα μπορούσε να οδηγεί τους χρήστες στον ιστότοπο. Οι κακόβουλες σελίδες έχουν αναφερθεί στο Wix, αλλά οι διαχειριστές πρέπει να σταματήσουν να θεωρούν ορισμένους ιστότοπους ως αξιόπιστους. Ακόμη και ο πιο καλοήθης ιστότοπος μπορεί να χρησιμοποιηθεί κακόβουλα.