В течение последних полутора месяцев фишинговой атаке подверглись клиенты как минимум трех российских хостинг-провайдеров: компаний «Петерхост», SpaceWeb и FirstVDS, однако аналогичная опасность в будущем может угрожать и клиентам других организаций, предоставляющих подобные услуги. Во всех зафиксированных случаях злоумышленники действовали схожим образом. С помощью общедоступных служб WHOIS мошенники определяли список веб-сайтов, размещающихся у выбранного хостинг-провайдера, тем же способом они вычисляли контактный адрес электронной почты владельца ресурса. На этот адрес злоумышленники отправляли письмо якобы от имени администрации хостинг-провайдера. В частности, клиентам SpaceWeb и FirstVDS мошенники сообщали о том, что размещенный у этого провайдера сайт якобы превысил лимит нагрузки для текущего тарифного плана. В целях решения этой проблемы получателю письма предлагалось перейти по ссылке, ведущей на поддельную веб-страницу, внешний вид которой практически полностью копировал оформление официального сайта хостинг-провайдера. В то же время URL поддельного сайта, содержащий в себе часть адреса настоящего ресурса хостинг-провайдера, располагался на другом домене. Если жертва вводила в соответствующую форму учетные данные своего аккаунта, они незамедлительно попадали в руки мошенников. Передача злоумышленникам учетных данных для доступа к панели управления хостингом чревата тем, что мошенники могут без ведома владельца сайта произвольным образом модифицировать его содержимое, например, организовать на нем распространение вредоносных программ или разместить незаконный контент. Аналитики компьютерной безопасности призывают пользователей проявлять бдительность и внимательно следить за адресами открываемых в браузере сайтов. Во всех спорных и подозрительных случаях мы рекомендуем обращаться за разъяснениями в службу технической поддержки соответствующей компании, предоставляющей услуги хостинга.
Источник