Φαίνεται ότι οι hackers έχουν αρχίσει να χρησιμοποιούν ένα νέο phishing campaign, που επιδιώκει να υποκλέψει τα στοιχεία σύνδεσης των χρηστών Facebook και Google. Σύμφωνα με τον Larry Cashdollar, ερευνητή ασφαλείας στην Akamai Security Intelligence Response Team, πρόσφατα έλαβε ένα μήνυμα ηλεκτρονικού ταχυδρομείου που είχε επισημανθεί από την Google ως ύποπτο. Το μήνυμα ηλεκτρονικού ταχυδρομείου τον ενημέρωνε σχετικά με μια νέα συσκευή, που χρησιμοποιήθηκε για να συνδεθεί στον Google λογαριασμό του. Δεδομένου ότι δεν είχε συνδεθεί στο λογαριασμό του τη στιγμή που του ήρθε το προειδοποιητικό email, αποφάσισε να εξετάσει το μήνυμα πιο διεξοδικά.
Το μήνυμα ηλεκτρονικού ταχυδρομείου που στάλθηκε από τη διεύθυνση facebook_secur@hotmail.com ήταν μια σύντομη αναφορά από την Google. Το πρώτο που τον παραξένεψε ήταν ο λογαριασμός Hotmail και ότι η διεύθυνση είχε περισσότερα κοινά με το Facebook παρά με τη Google. Η κατάχρηση του ονόματος της περίφημης εταιρείας είναι ένα τέχνασμα το οποίο έχει χρησιμοποιηθεί ενεργά σε επιθέσεις phishing. Σε αυτή την περίπτωση, οι απατεώνες προσπαθούσαν να εξαπατήσουν τους χρήστες να σκεφτούν ότι η ειδοποίηση προέρχεται από την ομάδα ασφάλειας του Facebook.
Πρώτο μέρος της επίθεσης – αναφορά από την Google
Το ψεύτικο μήνυμα ηλεκτρονικού ταχυδρομείου περιελάμβανε επίσης ένα σύνδεσμο “Consult the activity”, το οποίο αφού ο χρήστης κάνει κλικ, ανακατευθύνει το θύμα απευθείας σε μία σελίδα που ενθαρρύνει τον χρήστη να εισάγει τα στοιχεία σύνδεσης και τον κωδικό πρόσβασης του λογαριασμού Google. Το ύποπτο γι’ αυτή τη σελίδα προορισμού είναι ο τομέας του Google Translate. Αυτή είναι μια καλά σχεδιασμένη επιλογή επειδή όταν ο χρήστης βλέπει τη διεύθυνση URL στη γραμμή περιήγησης, εμφανίζεται ο νόμιμος τομέας Google και δημιουργεί ένα πλαστό αίσθημα νομιμότητας.
Σύμφωνα με τον ίδιο τον Larry Cashdollar, η διεύθυνση του συνδέσμου φαίνεται νόμιμη όταν ανοίγει σε μια mobile συσκευή. Ωστόσο, η ανάλυση του μηνύματος ηλεκτρονικού ταχυδρομείου και της διεύθυνσης σελίδας προορισμού στον υπολογιστή, αποκαλύπτει τον πλήρη τομέα “translate.googleusercontent.com/translate”.
Εάν ο χρήστης παρατηρήσει αυτή τη διεύθυνση στο πρώτο στάδιο της επίθεσης, η μόλυνση μπορεί να αποφευχθεί. Ωστόσο, όταν εισάγετε το email και τον κωδικό πρόσβασης για να συνδεθείτε στο λογαριασμό σας στο Google, ο εισβολέας μπορεί να συλλέξει τις καταχωρημένες πληροφορίες και να προχωρήσει στο επόμενο βήμα της επίθεσης.
Δεύτερο μέρος της επίθεσης – λήψη των διαπιστευτηρίων σας στο Facebook
Οι Phishers που ανέπτυξαν αυτήν την επίθεση προσπαθούν να επιτεθούν στους χρήστες δύο φορές με δύο διαφορετικές τακτικές που χρησιμοποιούνται για να αποκτήσουν τα διαπιστευτήρια Google και Facebook. Από τη στιγμή που οι εγκληματίες έχουν τα στοιχεία σύνδεσης στο λογαριασμό σας στο Google, σας ανακατευθύνουν σε ένα αντίγραφο της πύλης σύνδεσης στο Facebook. Η επίθεση phishing απευθύνεται σαφώς σε χρήστες κινητών και η σελίδα προορισμού για το Facebook εμφανίζει μια έκδοση σύνδεσης για κινητά.
Σύμφωνα με τον Cashdollar, τα πρώτα διαπιστευτήρια που συλλέγονται είναι το email και ο κωδικός πρόσβασης για το Google λογαριασμό σας. Αργότερα, μπορούν να συλλεχθούν και άλλες πληροφορίες, όπως:
- Διευθύνσεις IP
- τύπος προγράμματος περιήγησης
- τοποθεσία
- πρόσθετες προσωπικές πληροφορίες
Οι χρήστες πρέπει να σημειώσουν ότι τα συλλεχθέντα δεδομένα μπορούν αργότερα να χρησιμοποιηθούν για να κλέψουν πιο πολύτιμα διαπιστευτήρια από τα θύματα σε άλλες επιθέσεις.
