Новая фишинговая кампания для пользователей Dropbox


SymantecЭкспертами из Symantec была выявлена новая фишинговая кампания, направленная на пользователей Dropbox. В рамках данной кампании злоумышленники рассылают электронные письма с пометкой "важно". Текст письма сообщает, что получателю якобы был отправлен слишком большой для пересылки по электронной почте документ. В связи с этим пользователю предлагается кликнуть по ссылке в сообщении для просмотра содержимого.

На самом деле эта ссылка ведет на поддельную страницу авторизации в Dropbox, которая подобно фотографиям и другим файлам хранится в домене пользовательского контента Dropbox.

Интересно, но соединение со страницей осуществляется через SSL, что делает атаку еще боле опасной. К тому же подделка выглядит практически, как настоящая. Также стоит отметить, что в данном случае злоумышленников интересует получение учетных данных пользователей не только Dropbox, но также одного из популярных сервисов электронной почты.

После нажатия на "Вход", имя и пароль пользователя через SSL отправляются PHP скрипту на скомпрометированном сервере. Без использования вышеуказанного протокола пользователь получает соответствующее уведомление безопасности. Сохранив и отправив учетные данные злоумышленникам, PHP скрипт производит перенаправление пользователя на настоящую страницу авторизации в Dropbox. Примечательно и то, что некоторые ресурсы на странице не используют SSL. В связи с этим последние версии некоторых web-браузеров отправляют пользователям уведомления безопасности.

Symantec уведомила Dropbox об угрозе, в результате чего фишинговая страница была немедленно заблокирована.


Обновлено (20.10.2014 22:53)