Измамниците с фишинг използват уеб хостинг Wix

Киберпрестъпниците обичат да подкопават законни онлайн услуги като Google Docs и Dropbox, за да извършват своите злонамерени дейности. Безплатната компания за хостинг на уебсайтове Wix е най-новото допълнение към списъка с услуги, които са злоупотребили.

Изследователи от охранителната компания Cyren установиха, че измамниците създават фишинг сайтове, предназначени да събират идентификационни данни за вход в Office 365 чрез Wix, който предлага прост редактор за щракване и плъзгане за изграждане на уеб страници. Както обикновено се случва с безплатните услуги, престъпниците се възползват от тези инструменти, за да извършват своите операции.

Сайтът за фишинг изглежда като нов прозорец на браузъра, отворен за страница за вход в Office 365. Всъщност това е екранна снимка на страница за вход в Office 365 с полета за редактиране, насложени върху изображението. Потребителите биха сметнали, че сайтът е легитимен и въведоха идентификационните данни за вход, освен че информацията се въвежда в полетата на наслагването, а не в действителната страница на Office 365.

На работния плот наслагването е добре, но фактът, че полетата са отделни от изображението, е много по-очевиден за мобилното устройство, каза Сайрън.

Престъпниците също обмислят начини да останат под радара на Wix. Например на страницата няма текст - всичко е едно изображение - и полето за парола е изписано неправилно като „passvvord“. Нападателите може да са взели тези решения при предположението, че Wix има автоматизиран процес на сканиране, който проверява съдържанието на сайта, за да сигнализира за потенциално лоши сайтове.

Нападателите може да са проектирали страниците, за да накарат потребителя да мисли, че нещо е отворило нов прозорец на браузъра, каза изследователят на Cyren Avi Turiel. Това също може да е белег на мързел, като нападателят прави екранна снимка на оригиналната страница за вход и не си прави труда да редактира изображението. „Може би е изпитание, за да се види дали работи, така че по-малко усилия бяха положени за това“, каза Туриел.

Престъпниците обичат да хостват злонамерен софтуер в облачни услуги за съхранение или да изграждат своята инфраструктура за атаки с легитимни доставчици, за да заобиколят общите защитни защити. Потребителите - дори тези, които са били обучени да проверяват връзките за потенциални спам или фишинг атаки - не мислят два пъти да кликват върху връзки към популярни домейни и услуги, защото са обусловени да работят с тези инструменти. Организациите също не могат да блокират направо популярни домейни и доставчици на услуги, които са широко приети. В някои случаи продуктите за уеб защита дори не могат да сканират URL адресите, тъй като продуктите се считат за надеждни.

Също така помага, че тези услуги са безплатни. Атакуващите се възползват от валиден домейн, без да се налага да харчат пари.

Сайрън не знаеше как потребителите се изпращат към Wix страниците. Пренасочване на браузър или кампания за социално инженерство може да насочва потребителите към сайта. Злонамерените страници са докладвани на Wix, но администраторите трябва да спрат да мислят за определени сайтове като за доверени. Дори и най-доброкачественият сайт може да се използва злонамерено.