В начале июля эксперты «Лаборатории Касперского» обнаружили, что более пяти тысяч сайтов организаций из разных отраслей заражены вредоносным скриптом, пересылающим посетителей на фишинговые страницы. Подавляющее большинство таких ресурсов — российские, однако есть примеры из Беларуси, Казахстана, Узбекистана и других стран. Всего за четыре дня по оценкам компании с загрузкой вредоносного скрипта, перенаправляющего посетителей на мошеннические ресурсы, столкнулись более 35 тыс. пользователей.
Ловля финансовой информации
Схема мошенничества выглядит так: хакеры взламывают главную страницу сайта-жертвы и устанавливают на неё скрипт, перенаправляющий посетителей на вредоносные ресурсы. В случае, если человек заходит на зараженную страницу из поисковой выдачи, то он перебрасывается на подставной ресурс. Причем посетителей из России пересылают на специально подготовленные фишинговые страницы, а из других стран — на скам-ресурсы с якобы полагающимися призами.
Сами мошеннические сайты, куда скрипт пересылает посетителей, мимикрируют под крупные онлайн-магазины. На них пользователь сталкивается с «классической» фишинговой схемой: обещая большие скидки на товары, мошенники выманивают платежные и другие данные, в частности адрес и Ф.И.О. При этом на таких ресурсах банковская карта является единственным доступным способом оплаты, что также отличает их от настоящих сайтов. Сами ресурсы сверстаны достаточно качественно, однако подделку выдает название сайта в адресной строке.
«Заражение легитимных сайтов — не новая схема, — пояснила эксперт по кибербезопасности «Лаборатории Касперского» Дарья Иванова. — Злоумышленники используют ее для проведения как массовых атак на пользователей, так и для целенаправленных — на конкретные компании. Однако в этот раз примечателен масштаб проблемы и не совсем стандартная для таких атак цель злоумышленников — привести жертв на фишинговый ресурс. Опасность заключается еще и в том, что в большинстве случаев процесс исполнения вредоносного кода невидим посетителю: кажется, что сайт работает нормально, а перенаправление на сторонний ресурс можно принять за рекламную акцию, что может повысить „конверсию” для злоумышленников».
Рекомендации владельцам сайтов
Чтобы избежать превращения своего сайта в ловушку для посетителей, эксперты «Лаборатории Касперского» рекомендуют владельцам российских ресурсов следующие меры: использовать стойкие к взлому пароли или даже двухфакторную аутентификацию; регулярно обновлять операционную систему и программы, с помощью которых вы управляете сервером или контентом сайта; периодически сканировать файлы на сервере на предмет обнаружения вредоносного кода; обеспечить комплексную безопасность устройств, с помощью которых организуется управление сайтом; контролировать целостность сайта и следить за его фишинговыми копиями — такие услоуги иногда предлагают TI-сервисы. В некоторых случаях даже статистика посещения страниц сайта может указать место, где расположился встроенный вредонос. Для владельцев российских сайтов сейчас очень опасное время — их ресурсы могут использовать как перевалочные базы для захвата других систем и запутывания следов серьезных атак, поэтому следить за безопасностью сайтов особенно сейчас наиболее важно.
