PandaLabs, лаборатория по обнаружению и анализу вредоносного ПО Panda Security, обнаружила в интернете несколько бесплатных наборов фишинговых утилит, позволяющих киберпреступникам рассылать мошеннические электронные письма. Такие утилиты дают злоумышленникам возможность подделывать электронные письма и страницы банков, онлайновых платежных платформ, учетные записи почты Gmail и Yahoo!Mail, страницы онлайновых игр (кража паролей к Xbox) и блогов (данные для входа на Fotolog). «Особенно удивляет то, что эти наборы бесплатны, - объясняет Луис Корронс (Luis Corrons), технический директор PandaLabs. - За счет простоты их использования многократно увеличивается число фишинговых атак, что приводит к большим финансовым потерям для компаний и потребителей. По данным исследования, проведенного Gartner, в 2007 г., нанесенные фишингом убытки американских потребителей составили $3,2 млрд.». Схема проста: пользователь заходит на URL, на котором размещены наборы, и получает доступ к файлам для создания мошеннической электронной почты; один из файлов позволяет им подделывать письма банков, платежных платформ и др., а другой – создавать мошеннические веб-страницы по образу оригинала. Кроме того, в набор входит бесплатная PHP-программа, предназначенная для рассылки электронной почты с фальшивой страницы. Дальнейший процесс ничем не отличается от действия обычного фишинга: по нескольким адресам рассылаются поддельные электронные письма, содержащие ссылку на вредоносную веб-страницу, которая предлагает пользователю ввести нужные киберпреступникам данные; адреса электронной почты, банковские пароли и др. «Чтобы заполучить электронные адреса для рассылки спама, киберпреступники покупают в интернете списки адресов, хотя некоторые из них легко достаются им бесплатно, - говорит Луис Корронс. - Когда мы добавляем бесплатные хостинговые сервисы – запуск фишинговых атак киберпреступникам абсолютно ничего не стоит». Злоумышленники, к тому же, могут выбирать способ получения украденных данных; в txt-файлах, которые хранятся на сервере, сообщением на электронную почту или другим способом.
Источник