Не та сторінка Apple, яку ви шукаєте
“Якщо я покажу цю [веб-сторінку] своїм батькам, не думаю, що вони зрозуміють, що це підробка,” сказав Жеремі Сегюра, провідний аналітик з інформаційної безпеки у Malwarebytes, в інтерв’ю. “Коли ви користувач, натискаючи на ці посилання, ви думаєте: ‘О, я справді на сайті Apple, і Apple рекомендує мені зателефонувати за цим номером.’”
Невідомі особи, які стоять за цим шахрайством, починають з покупки рекламних оголошень у Google, які з’являються на верхніх позиціях у результатах пошуку для Microsoft, Apple, HP, PayPal, Netflix та інших сайтів. Хоча Google показує лише схему та ім’я хоста сайту, на який веде реклама (наприклад, https://www.microsoft.com), реклама додає параметри до шляху праворуч від цієї адреси. Коли цільова особа натискає на оголошення, відкривається сторінка на офіційному сайті. Додані параметри вводять підроблені телефонні номери у сторінку, яку бачить користувач.
Підроблений номер телефону на веб-сторінці Microsoft.
Джерело: Malwarebytes
Підроблений номер телефону на веб-сторінці HP.
Джерело: Malwarebytes
Google вимагає, щоб реклама відображала офіційний домен, до якого вона веде, але компанія дозволяє додавати параметри праворуч від нього, які не видно. Шахраї використовують цю лазівку, додаючи рядки праворуч від імені хоста. Наприклад:
/kb/index?page=search&q=☏☏Call%20Us%20%2B1-805-749-2108%20AppIe%20HeIpIine%2F%2F%2F%2F%2F%2F%2F&product=&doctype=¤tPage=1&includeArchived=false&locale=en_US&type=organic
Параметри не відображаються в рекламі Google, тому у цільової особи немає жодного явного приводу підозрювати щось недобре. Після натискання реклама веде на правильне ім’я хоста. Однак додані параметри вводять підроблений номер телефону у веб-сторінку, яку бачить користувач. Ця техніка працює в більшості браузерів та на більшості веб-сайтів. Malwarebytes.com також постраждав, поки не почав відфільтровувати злочинні параметри.
Підроблений номер на веб-сторінці Apple.
Джерело: Malwarebytes
“Якщо тут є проблема безпеки, то вона полягає в тому, що при виконанні цієї URL-адреси вона запускає цей запит на сайті Apple, і сайт не може визначити, що це не законний запит,” пояснив Сегюра. “Це попередньо сформований запит, зроблений шахраєм, але [сайт] не може це зрозуміти. Отже, вони просто видають будь-який запит, який у вас є.”
На даний момент Сегюра зазначив, що він спостерігав, як шахраї зловживали лише рекламою в Google. Невідомо, чи можна зловживати рекламою на інших сайтах аналогічним чином.
Хоча багато цільових осіб зможуть виявити, що введений текст є підробленим, обман може бути не таким очевидним для людей з порушеннями зору, когнітивними проблемами або тих, хто просто втомлений чи поспішає. Коли хтось телефонує на підроблений номер, його з’єднують з шахраєм, який видає себе за представника компанії. Шахрай може обманути абонента, щоб той надав особисті дані або деталі платіжної картки, або одержати віддалений доступ до їхнього комп’ютера. Шахраї, які представляються як співробітники Bank of America або PayPal, намагаються отримати доступ до фінансового рахунку жертви і вкрасти з нього кошти.
Продукт безпеки браузера від Malwarebytes тепер попереджає користувачів про такі шахрайства. Більш обширний профілактичний захід — це ніколи не натискати на посилання в рекламі Google, а, якщо можливо, переходити за посиланнями в органічних результатах.