Домен .APP задействовали для фишинговой кампании

Всеобщий переход на удаленную работу в условиях карантина и самоизоляции вызвал резкий рост популярности онлайн-сервисов аудио- и видеосвязи. Соответственно, заметно выросло и число хакерских атак на эти сервисы. Об очередной из них сообщили исследователи компании Cofense. По их словам, речь идет о весьма изощренной фишинговой операции. Пользователи Skype получают сообщения электронной почты якобы от администрации сервиса с просьбой перейти по ссылке, чтобы подтвердить свой пароль. Сообщения рассылаются с почтовых ящиков, в адресах которых фигурирует слово Skype, однако в действительности они не имеют к сервису никакого отношения.

Переход по ссылкам ведет на страницы, тщательно имитирующие страницу авторизации в Skype. Они созданы на доменах в новом общем домене верхнего уровня .APP. Эта доменная зона управляется корпорацией Google и адресована в первую очередь разработчикам ПО, технологическим компаниям и специалистам по кибербезопасности, однако регистрация имен в ней не требует очень жесткой проверки, чем, очевидно, и воспользовались мошенники. Обязательным требованием Google является использование всеми ресурсами, действующими на доменах .APP, защищенного соединения HTTPS. Соответственно, в адресной строке браузера такие ресурсы помечаются как безопасные, что создает у пользователя иллюзию легитимности страницы. Кроме того, на странице автоматически заполняется поле login – в него подставляется адрес электронной почты пользователя, перешедшего по вредоносной ссылке. Это должно служить дополнительным подтверждением подлинности страницы. В результате доверчивому пользователю остается лишь ввести свой пароль – который тут же оказывается в руках хакеров.

Источник: Bleeping Computer