Аза Раскин, сын известного специалиста по компьютерным интерфейсам и юзабилити Джефа Раскина и руководитель подразделения User Expirience в Mozilla Labs, опубликовал в своем блоге сообщение о появлении совершенно нового типа фишинговых атак.
Напомним, что фишинг - это вид мошенничества, целью которого является получение у доверчивого пользователя разнообразной приватной информации. Обычно воруют пароли и логины к электронной почте или социальным сервисам. Но основная цель мошенников - это, конечно, доступ к банковским счетам или электронным платежным системам. Чаще всего для этого используют массовую рассылку писем с просьбой подтвердить свои данные. В письме указывается ссылка, которая ведет на поддельный сайт, неотличимый по дизайну от оригинального, или следует просьба выслать данные в ответе. Эта ловушка рассчитана на невнимательных и неопытных пользователей.
Описанный Раскиным способ отличается от «классического» не только своей оригинальностью, но и общей элегантностью подхода. Пользователь попадает на совершенно приличный с виду сайт. Он может зайти на него через поисковик, каталог или рекламу, другими словами, таким же образом, как он обычно попадает на новые для него сайты. На странице присутствует какая-то информация, достаточно полезная, чтобы пользователь оставил вкладку или окно браузера открытым.
Как только пользователь переключает внимание на другую вкладку, содержимое фишингового сайта меняется. На него «натягивается» интерфейс, например, почтового сервиса Gmail. Вместе с этим меняется заголовок окна и иконка сайта.
Через некоторое время пользователь, перебирая вкладки браузера, находит этот сайт, принимает его за настоящий Gmail и вводит туда свой логин и пароль, поскольку думает, что его просто «вылогинило». Введенные данные отправляются мошенникам, а сайт перенаправляет пользователя на настоящий Gmail, из которого он, возможно, даже не выходил. Весь описанный процесс продемонстрирован на видео ниже.
Понятно, что вместо Gmail может использоваться другой сервис, включая практически любой российский. Скрипт, отвечающий за подмену дизайна, можно обучить слежению за историей посещений, чтобы он подставлял дизайн именно того сервиса, на который пользователь действительно ходит. В случае с платежными системами или интернет-банкингом пользователю можно показывать страницу с информацией о том, что время сессии истекло и для повторного входа нужно ввести все данные повторно.
У этого фишингового метода есть только один недостаток, который может уберечь пользователя от добровольной передачи приватных данных в чужие руки. Он заключается в том, что скрипт не способен подменить адрес. То есть во вкладке с фальшивым Gmail будет написан адрес исходного сайта, а не https://www.google.com/accounts... Но часто ли мы обращаем внимание на адрес, если сама страница выглядит так, как она должна?
Проверить свою внимательность можно прямо на сайте Аза Раскина. Если вы активный пользователь Gmail, то оставьте его открытым на некоторое время, а потом вернитесь и постарайтесь побороть желание ввести свои данные. Особо любопытные могут скачать исходный код скрипта, написанного на JavaScript.
