Очередная схема мошенничества: как взломанный корпоративный сайт незаметно обманывает ваших клиентов

Корпоративный сайт компании может уже сейчас незаметно работать против вашего бизнеса и репутации, перенаправляя клиентов с мобильных устройств на мошеннические ресурсы. Очередная схема кибератак, выявленная специалистами, использует взломанные сайты известных компаний как инструмент для обмана их конечных пользователей. Это создает прямые финансовые риски для клиентов и колоссальные репутационные издержки для компании. Сергей Самохвал, руководитель центра кибербезопасности hoster.by, рассказал «Про бизнес», как раскрывается механизм скрытого взлома и дал конкретные рекомендации по защите сайтов, позволяя предотвратить ущерб для компаний.

Одна ссылка — разные сайты

— Центр кибербезопасности (SOC) hoster.by зафиксировал действия злоумышленников, при которых интернет-пользователей направляют на мошеннические или фишинговые сайты. В зоне повышенного риска оказались владельцы смартфонов, использующие мобильный трафик.

Специалисты SOC обнаружили, что ресурс одного из клиентов взломан. В ходе расследования были найдены вредоносные файлы, которые определяли, с какого устройства пришел пользователь, а также какой интернет он использует — мобильный или нет. При переходе по прямой ссылке с компьютера сайт открывается корректно, а вот при попытке зайти на него со смартфона — происходит перенаправление на мошеннический ресурс с предложениями платных подписок. Быстро обнаружилось, что случай не единичный.

Сами по себе скам и фишинг крайне распространены. Первый включает самые разные способы получения денег или конфиденциальных данных. Фишинг же вводит пользователей в заблуждение, имитируя доверенные и известные сайты. Но именно новая схема вызывает настоящее беспокойство, и вот почему.

«Представьте, что вы вводите интернет-адрес, например, банка и попадаете на предложение оформить услугу или подписку в 1 клик, — комментирует руководитель центра кибербезопасности hoster.by Сергей Самохвал, — при этом услуга не имеет к реальному банку никакого отношения. И, что самое тревожное, подписка действительно оформится моментально, без какой-либо авторизации и подтверждений в виде смс с кодом, если вы используете мобильный трафик».

Специалисты подчеркивают, что задуматься о защите своих сайтов следует всем, потому что владельцы интернет-площадок обычно даже не подозревают о взломе. А вредоносный код попадает на ресурс задолго до каких-либо ощутимых последствий.

Как вообще знакомый домен может отправить пользователя на сторонний сайт?

Все дело в том, что злоумышленники подобрали пароль к административной части сайта и внедрили в него веб-шелл. Это небольшая программа или командная оболочка, которая дает доступ к серверу для выполнения на нем каких-то действий. Она может долго оставаться незамеченной и эксплуатировать веб-ресурс. Веб-шелл был написан таким образом, чтобы анализировать источник трафика. Он перенаправлял на сторонний ресурс только ту часть, которая использует мобильный интернет. В итоге пользователи стационарного интернета попадали на привычный сайт, а мобильные — на сайт с платными подписками.

В ходе расследования специалисты SOC проанализировали IP-адреса, с которых произвели взлом. Оказалось, что с их помощью было скомпрометировано еще несколько сайтов, на которых обнаружили тот же скрытый редирект.

«Мы оперативно устранили последствия взлома для клиентов центра кибербезопасности и уведомили владельцев тех ресурсов, которые не находятся на обслуживании в нашем SOC. Не устанем повторять — для того, чтобы свести к минимуму подобные проблемы, крайне важно регулярно менять пароли к административной части сайта и делать их сложными. Следить, чтобы у вас не было учетных записей уволенных сотрудников, которые давно не используются, — комментирует Сергей Самохвал, — также не забывайте сразу обновлять движок сайта, как только выходят обновления, поскольку очень часто веб-шеллы массово размещают на сайтах через уязвимости, которые закрываются в обновленных версиях».