Пользователи Dropbox стали жертвами мошенничества, передав свои учетные данные через фишинговую страницу, отправленную по SSL

Table Of Contents

• Пользователи Dropbox стали жертвами мошенничества, передав свои учетные данные через фишинговую страницу, отправленную по SSL
• Механизм действия
• Страницы входа, обслуживаемые через веб-страницу с использованием защищенного протокола

Пользователи Dropbox стали жертвами мошенничества, передав свои учетные данные через фишинговую страницу, отправленную по SSL

После массовой утечки 700,000 учетных записей и паролей пользователей Dropbox, которую Dropbox отрицает, люди стали настороженно относиться к безопасности Dropbox.

Так случилось, что появился новый способ кражи учетных данных Dropbox. Киберпреступники пытаются украсть учетные данные для Dropbox и веб-сервисов электронной почты, создав поддельную страницу входа, которая размещена на сайте обмена файлами, используя его защищенный протокол. Это мошенничество было обнаружено компанией Symantec.

Механизм действия

Как обычно, потенциальные жертвы получают электронное письмо с темой «Важно» от известного лица (которое также стало жертвой). В письме говорится, что оно содержит большой файл, который можно просмотреть только через Dropbox. Как только жертва нажимает на ссылку, она попадает на клонированную страницу Dropbox, где ее просят ввести свои учетные данные Dropbox.

Проблема с этой клонированной страницей Dropbox заключается в том, что она обслуживается через защищенный веб-сайт с префиксом https перед URL и содержит точную копию логотипа Dropbox. Это заставляет жертву поверить, что она находится на настоящей странице Dropbox и передать свои учетные данные киберпреступникам. Изображение, представленное ниже, является изображением указанной страницы и может обмануть даже самых осторожных пользователей.

Страницы входа, обслуживаемые через веб-страницу с использованием защищенного протокола

Как только кнопка «войти» нажата, имя пользователя и пароль, введенные в поля входа, передаются на PHP-скрипт на скомпрометированном сервере, говорит Ник Джонстон из Symantec в блоге.

Главная стратегия киберпреступников использовать защищенный протокол для размещения своего зловредного клонированного сайта работает в большинстве случаев. Передача данных на машину, к которой получили доступ мошенники, также осуществляется с использованием защищенного протокола, что не вызывает подозрений у жертвы. В противном случае, поскольку поддельная страница доступна через зашифрованное соединение, веб-браузер уведомил бы, что используется небезопасный канал связи для передачи данных, предупреждая, что их могут перехватить и прочитать третьи лица.

Джонстон добавляет в своем блоге, что не все ресурсы фишинговой страницы передаются по SSL. Небезопасные элементы отмечены в верхней части веб-браузера, где будет отображаться другой значок замка в адресной строке, сообщая, что некоторые части страницы небезопасны. Однако для большинства пользователей достаточно увидеть замок и https в начале страницы, что ставит их под больший риск.

«Поддельная страница входа размещена на домене пользовательского контента Dropbox (как и общие фотографии и другие файлы) и обслуживается по SSL, что делает атаку более опасной и убедительной», говорит исследователь.

Это не первый случай злоупотребления облачным хранилищем Dropbox. В конце августа была замечена кампания SMS-фишинга (смс-фишинг), использующая тот же метод, отличием было то, что мошенники предоставили поддельную/клонированную страницу Facebook.

*Однако, учитывая масштаб недавних утечек, которые поразили киберпространство на прошлой неделе, пользователям рекомендуется проявлять осторожность, чтобы избежать попадания в такие ловушки.