В соцсетях – новое нашествие «рыболовов»

Сервис  хранения и обмена файлами «Документы» появился в сети «ВКонтакте» пару месяцев назад. 17 августа  компания «Доктор Веб» сообщила о появлении очередной фишинговой схемы, которую кибермошенники применяют для похищения логинов и паролей пользователей «ВКонтакте».  Схема достаточно простая – со взломанных аккаунтов по базе друзей делается спам-рассылка со ссылкой на графический файл, предлагающий посетить сайт злоумышленников для установки какого-либо приложения, например утилиты, позволяющей отслеживать случайных посетителей на страничке пользователя социальной сети. При этом, как сообщает компания «Доктор Веб», данное изображение хранится на одном из серверов внутренней системы файлового обмена «В контакте», и потому при переходе по фишинговой ссылке пользователю не демонстрируется сообщение о том, что он покидает сайт социальной сети. После посещения пользователем зараженного сайта, интерфейс которого напоминает интерфейс соцсети, ему предлагается ввести данные, которые затем попадают в руки злоумышленников.  Как отмечают в компании «Доктор Веб», ссылки на аналогичные фишинговые сайты нередко рассылаются троянцем Trojan.VkSpam.

Фишинговой атаке подвергся и Facebook. По данным компании G Data Software, многие пользователи получили через функцию Facebook сообщение вроде: «Это твой бывший молодой человек/девушка?», «Боже мой, посмотри какой милый». При этом сокращенные ссылки, по которым предлагалось пройти, могли быть разными, но результат всегда один: после перехода по ссылке на компьютере начиналась загрузка вредоносного файла, который маскируется под .jpg формат. В случае загрузки у пользователя не отображается расширение, а появляется иконка обычной картинки в формате jpg. Следующим этапом станет заражение друзей. Загруженный файл уже с зловредами сохраняется и исполняется в папке TEMP ОС Windows%%. Но пользователь пока не замечает вредоносной деятельности. С целью обмануть второй раз, вирус даже отображает поддельное уведомление, объясняющее, почему юзер не может открыть картинку.

«Пока жертва думает, что файл поврежден и, скорей всего, отправляет его прямиком в корзину, на ее компьютер в фоновом режиме устанавливается вредоносная программа, - рассказывает руководитель лаборатории безопасности G Data Labs Ральф Бенцмюллер. - К сожалению, мы не смогли определить ее происхождение, так как область хостинга была уже подчищена хакерами. Также для своих уловок они использовали абсолютно легальный хостинг для временного размещения файлов. Но мы смогли определить файл-загрузчик: троянская программа Trojan.Generic.KD.315917».

Специалисты G Data Software отмечают, что загружаемые зловреды могут быть любого вида и происхождения: от банковский троянов до клавиатурных шпионов, бэкдоров и т.п. Даже несмотря на то, что в способе заражения компьютера через троян-загрузчик нет ничего нового, из-за широкого охвата социальной сети такая атака может быть вполне существенной.

«Популярным инструментом фишинга остаются гомографические  атаки, когда название ложной веб-страницы, как две капли воды похожей  на страницу известной социальной сети, едва отличимо от оригинального, - отмечает управляющий корпоративными продажами G Data Software в России и СНГ Алексей Демин. - Например, можно переставить местами две буквы в середине имени сайта. Во-первых, абсолютное большинство пользователей редко обращает внимание на адресную строку браузера, а, во-вторых, слово воспринимается человеческим мозгом целиком, поэтому при беглом чтении ошибки и несоответствия довольно легко пропустить. А убедив пользователя в том, что он находится на любимой и родной странице, можно получить любую информацию».

Кроме приложений, опасность  представляют сообщения от других участников сети, содержащие различные ссылки. В любом случае не стоит переходить по ссылке, если она показалась Вам  подозрительной. Даже если получена такая  ссылка от хорошо знакомого вам человека, она может быть результатом «взлома» его аккаунта. За такими ссылками очень часто могут скрываться новые приемы кибер-преступников.  

Достаточно часто приходится сталкиваться с приложениями, предлагающими пользователю добровольно ввести данные доступа. Взамен приложение обещает получение каких-либо виртуальных благ, например, поднятие рейтинга или дополнительные возможности. Полученные таким образом данные могут быть использованы для преступных целей. 

«Конечно, непросто изобрести  что-то принципиально новое, но всегда можно попытаться сочетать новые идеи с хорошо зарекомендовавшими себя проверенными методами получения информации. По сути, новая атака таковой и является», - резюмирует Алексей Демин.