Bola zaznamenaná dômyselná kampaň na neoprávnené získavanie údajov, ktorá zoskupuje vstupnú stránku podvodníka v prílohe HTML a nie presmeruje používateľov na iný web, ktorý ich žiada o prihlásenie.
Typický podvod zameraný na neoprávnené získavanie údajov pozostáva z e-mailu, v ktorom sa útočník pokúša presvedčiť používateľa, aby klikol na odkaz, aby získal dokument alebo zabránil tomu, aby sa niečo stalo. Tieto odkazy potom privedú používateľa na webovú stránku alebo vstupnú stránku, ktorá obsahuje prihlasovací formulár, kde musí používateľ zadať svoje prihlasovacie údaje, aby mohol pokračovať.
Pri tomto type útoku môžu používatelia zistiť podvod pomocou obsahu e-mailu, podozrivej vzdialenej stránky a vstupnej stránky alebo prostredníctvom upozornení z bezpečnostných riešení.
Namiesto toho ukážme prihlasovací formulár lokálne
Aby sa zabránilo podozrivým používateľom pri presmerovaní na web s podivnou doménou alebo adresou URL, chytrý podvodník sa rozhodol vygenerovať podvod typu phishing priamo v prehliadači používateľa bez toho, aby musel ísť na vzdialenú stránku.
Túto novú metódu si všimol spracovateľ ISC Jan Kopriva, ktorý uvedený že dostali všeobecný e-mail s neoprávneným získavaním údajov [phishing], v ktorom sa uvádza „Priložte kópiu vášho platobného oznámenia“ a obsahuje prílohu HTML s názvom „payment.html“.
Táto príloha je jednoducho súbor HTML s veľkým množstvom zmäteného JavaScriptu, ktorý sa stane podvodom tohto podvodu.
Keď používateľ otvorí prílohu, namiesto toho, aby bol presmerovaný na vzdialenú stránku, ktorá obsahuje prihlasovací formulár, JavaScript vykreslí prihlasovací formulár „Dokumenty Microsoft“ priamo v prehliadači, ako je to znázornené nižšie.
Táto generovaná forma obsahuje aj množstvo metód, ktoré sa používatelia môžu prihlásiť na web, vrátane služieb Gmail, Office365, Yahoo, Hotmail a Yahoo.
Poskytovatelia prihláseniaKeď používateľ odošle informácie, JavaScript ticho odošle údaje na vzdialené miesto na pozadí bez toho, aby o tom používateľ vedel.
Posielanie údajov na vzdialenú stránkuPotom budú presmerovaní na vzdialenú stránku, ktorá v prehliadači zobrazuje falošné oznámenie o platbe. Toto je chyba, pretože platobné oznámenie mohlo ľahko vygenerovať skript JavaScript a obrázok s kódom base64 obsiahnutý v prílohe.
Falošné oznámenie o platbeV tomto momente však nezáleží na tom, či je vzdialená stránka zablokovaná alebo považovaná za podozrivú, pretože útočník už ukradnuté údaje dostal.
Ako vidíte, vygenerovaním prihlasovacieho formulára lokálne, namiesto použitia vzdialeného webu, útočník nemusí generovať realisticky vyzerajúce doménové mená a adresy URL na hosťovanie svojich prihlasovacích formulárov.
Navyše miestnym vygenerovaním vstupnej stránky znižujú riziko, že sa ich vstupná stránka objaví a odstráni.
Toto je len ďalšia taktika, ktorú si používatelia e-mailu budú musieť uvedomiť, aby sa chránili pred tým, ako sa stanú obeťami podvodov typu phishing.
