Фишеры ловко угоняют недавно выкупленные и заброшенные легальные домены

Олег Иванов 19 Ноября 2020 - 09:00

Домашние пользователи

...

Киберпреступники стали чаще воровать доменные имена. Согласно статистике специалистов Group-IB, подобные атаки угрожают как минимум 30 500 доменов, расположенных на площадках популярных международных и российских хостинг-провайдеров.

Как правило, взломанные ресурсы злоумышленники используют в фишинговых атаках, рассылках вредоносных программ, а также для осуществления финансового мошенничества и заражения посетителей атакованных сайтов.

На киберпреступную схему эксперты CERT-GIB вышли осенью этого года, когда изучали многочисленные фишинговые сайты. В ходе анализа специалисты обратили внимание, что атакующие используют не взломанные и не новые ресурсы, а легитимные домены в зонах .RU, .SU и .РФ.

Как правило, такие домены принадлежали пользователям или организациям. Например, «медкнижка-тверь.рф» — появившийся весной домен, рекламирующий медицинские услуги, в августе уже был взломан. Злоумышленники разместили на сайте фейковое объявление о несуществующей акции.

Само собой, цель в таких случаях одна — выудить данные банковских карт пользователей. Сначала жертва спокойно отвечает на несложные вопросы, а потом её ненавязчиво просят указать реквизиты, чтобы подарить за опрос 2020 рублей.

По словам специалистов CERT-GIB, киберпреступники воспользовались тем, что у владельца истёк срок действия хостинг-аккаунта. После обнаружения опасный домен был заблокирован.

В общей сложности исследователи выявили несколько сотен похожих ресурсов, после чего стала ясна вся схема злоумышленников. Оказалось, что основными жертвами преступников стали владельцы доменных имён, которые не привязаны к хостинг-аккаунту.

Другими словами в группе риска находятся либо заброшенные, либо только недавно выкупленные домены. У атакующих при этом есть список таких доменов, а вся процедура перехвата составляет от 30 минут до нескольких часов.

Эксперты CERT-GIB даже разместили специальную приманку для злоумышленников — зарегистрировали специальное доменное имя. Прошло приблизительно несколько дней перед тем, как преступники обнаружили домен и «угнали» его.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 22 Ноября 2024 - 09:26

iOS Эксплойты Уязвимости программ Домашние пользователи Корпорации

Инструмент для взлома GrayKey работает с iPhone 16, но не с iOS 18

Слитые на днях документы показали, что GrayKey, инструмент для взлома iPhone, может получить доступ и к последней модели смартфона — iPhone 16. Однако только в том случае, если он работает на не бета-версии iOS 18.

Graykey можно назвать прямым конкурентом Cellebrite. Последняя программа, например, недавно помогла взломать смартфон стрелка, ранившего Дональда Трампа.

Разработчики GrayKey и Cellebrite скупают информацию об уязвимостях нулевого дня, которые Apple ещё не успела пропатчить. Интересно, что обе компании регулярно публикуют таблицу с актуальным списком девайсов, которые можно взломать.

Изданию 404Media удалось получить часть внутренних документов Graykey, согласно которым софт может взломать всю линейку iPhone 11, а также частично модели с iPhone 12 по iPhone 16 включительно.

Таким образом, можно сделать вывод, что последние существенные аппаратные меры безопасности Apple реализовала именно в iPhone 12. Тем не менее, поскольку подробности не раскрываются, остаётся лишь гадать, что значит «частичный взлом».

Это может быть обычный доступ к незашифрованному содержимому хранилища и метаданным зашифрованного контента. Однако GrayKey не может ничего противопоставить любой из бета-версий iOS 18, о чём говорит сама таблица.

Отметим также новую функцию безопасности в iOS 18 — автоматический перезапуск iPhone, который недавно добавил головной боли полиции.