Varalice za krađu identiteta iskorištavaju Wixov web hosting

Internetski kriminalci vole podmetati legitimne mrežne usluge poput Google dokumenata i Dropboxa kako bi izvršavali svoje zlonamjerne aktivnosti. Tvrtka Wix za besplatni hosting web stranica najnoviji je dodatak popisu usluga koje su zloupotrijebili.

Istraživači iz sigurnosne tvrtke Cyren otkrili su da prevaranti stvaraju web lokacije za krađu identiteta dizajnirane za prikupljanje vjerodajnica za prijavu u Office 365 putem Wixa, koji nudi jednostavan uređivač za klikanje i povlačenje za izgradnju web stranica. Kao što se obično događa s besplatnim uslugama, kriminalci koriste prednosti ovih alata za obavljanje svojih operacija.

Web lokacija za krađu identiteta izgleda kao novi prozor preglednika otvoren za stranicu za prijavu na Office 365. Zapravo je riječ o snimci zaslona stranice za prijavu na Office 365 s uređenim poljima prekrivenim na slici. Korisnici bi smatrali da je web lokacija legitimna i unijeli vjerodajnice za prijavu, osim što se podaci unose u polja na preklopnom sloju, a ne na stvarnoj stranici Office 365.

Na radnoj površini je prekrivanje u redu, ali činjenica da su polja odvojena od slike puno je očiglednija na mobilnom uređaju, rekao je Cyren.

Kriminalci također smišljaju načine da ostanu pod Wixovim radarom. Na primjer, na stranici nema teksta - sve je to jedna slika - a polje za lozinku pogrešno je napisano kao "passvvord". Napadači su ove odluke možda donijeli pod pretpostavkom da Wix ima automatizirani postupak skeniranja koji provjerava sadržaj web mjesta kako bi označio potencijalno loše web stranice.

Napadači su možda osmislili stranice kako bi natjerali korisnika da pomisli da je nešto otvorilo novi prozor preglednika, rekao je istraživač Cyrena Avi Turiel. To bi također mogao biti znak lijenosti, jer bi napadač napravio snimku zaslona originalne stranice za prijavu i ne trudio se urediti sliku. "Možda je suđenje kako bi se utvrdilo radi li, pa je uloženo manje truda", rekao je Turiel.

Kriminalci vole hostirati zlonamjerni softver na uslugama pohrane u oblaku ili graditi svoju napadačku infrastrukturu s legitimnim davateljima usluga kako bi zaobišli uobičajene sigurnosne obrane. Korisnici - čak i oni koji su obučeni za provjeru veza zbog potencijalnih napada neželjene pošte ili krađe identiteta - ne razmišljaju dvaput o tome da kliknu na veze do popularnih domena i usluga jer su uvjetovani za rad s tim alatima. Organizacije također ne mogu blokirati izravno popularne domene i pružatelje usluga koji su široko prihvaćeni. U nekim slučajevima proizvodi za web zaštitu možda neće niti skenirati URL-ove jer se proizvodi smatraju pouzdanima.

Također pomaže što su ove usluge besplatne. Napadači dobivaju pogodnost važeće domene bez trošenja novca.

Cyren nije znala kako se korisnici preusmjeravaju na Wix stranice. Preusmjeravanje preglednika ili kampanja socijalnog inženjeringa može biti usmjeravanje korisnika na web mjesto. Zlonamjerne stranice prijavljene su Wixu, ali administratori moraju prestati smatrati određene web stranice pouzdanima. Čak se i naj benignija web lokacija može zlonamjerno koristiti.