Фишинговые сайты позволяют похитить уже похищенные данные

Исследователи компании Akamai Лэрри Кэшдоллар и Стив Рэган опубликовали статью, в которой продемонстрировали серьезные проблемы фишинговых страниц. Их опасность вполне очевидна: они имитируют веб-ресурсы легитимных учреждений и организаций и создаются киберпреступниками с единственной целью – похищать персональные данные посетителей, от паролей и номеров банковских карт до цифровых копий различных документов. Но, как выясняется, фишинговые ресурсы часто несут угрозу и самим их создателям.

Кэшдоллар и Рэган установили, что многие фишинговые страницы не имеют достаточной защиты. Поэтому данные, похищенные создателями сайта, могут быть легко похищены уже у них другими хакерами. Речь идет о конкретной категории фишинговых страниц, предлагающей посетителям загрузить цифровые копии своих документов – водительских прав, удостоверений личности и т.д. Для создания таких ресурсов используются своего рода программы-конструкторы, так называемые phishing kits. Многие из них основываются на имеющемся в открытом доступе исходном коде, который известен примерно с 2017 года. В нем и содержится уязвимость, связанная с недостаточной проверкой загружаемых файлов. В результате атакующий получает возможность под видом копий документов загрузить на ресурс свой собственный код. Это открывает широкий простор для дальнейших действий: от кражи уже украденных ранее данных до получения полного контроля над страницей.

По словам исследователей, они уже обнаружили уязвимые к таким атакам фишинговые страницы, имитирующие сайты двух известных коммерческих банков, компании, осуществляющей онлайн-платежи, а также файлообменного сервиса. Впрочем, главную угрозу эта находка все же представляет для пользователей: их данные теперь могут быть украдены не единожды, а многократно.

Источник: The Register