Мошенники проводили фишинговые атаки с помощью шлюза IPFS Cloudflare
Новости
Фишинговые формы, расположенные в этой файловой системе, подписаны действительным сертификатом CloudFlare SSL, что создает иллюзию подлинности.
737 открытий808 показов
Специалисты Bleeping Computer обнаружили, что злоумышленники используют шлюз IPFS Cloudflare для фишинговых атак. Как и Azure Blob, Cloudflare защищает подключения к шлюзу IPFS с помощью собственных сертификатов SSL. Таким образом, мошенники, расположившие в этом хранилище поддельную форму авторизации, создают иллюзию её подлинности.
Как это работает?
Злоумышленники используют шлюз IPFS для отображения сохранённого в файловой системе IPFS документа HTML.
Страница подписывается действительным сертификатом безопасности Cloudflare SSL, что убеждает пользователя в подлинности заполняемой формы.
Когда пользователь заполнит и отправит форму авторизации, введенные мобильный номер и адрес электронной почты будут отправлены на страницу в домене searchurl.bid, контролируемую мошенниками. Затем жертве показывают документ PDF с названием «Бизнес-модели, бизнес-стратегия и инновации».
Стандартная схема?
В списке URL-адресов, которые попали в базу VirusTotal и принадлежат домену searchurl.bid, находится большое количество фишинговых страниц. Самые ранние датируются июлем 2018 года. Многие них уже заблокированы, но некоторые всё ещё отображают формы авторизации Google, Windows, DocuSign и т.д. Хотя адреса этих сайтов мало похожи на настоящие, пользователь может не заметить этого и отправить свои данные злоумышленникам.
Подобный инцидент случился с хранилищем Azure Blob. В начале октября 2018 года стало известно, что мошенники точно так же использовали это хранилище для расположения в нём фишинговых форм.
737 открытий808 показов