Из-за нового вредоноса Shai Khulud в рунете могут появиться визуально неотличимые от оригиналов мошеннические сайты. Shai Khulud крадет инструменты разработки сайтов, которые потом позволяют мошенникам воспроизводить клоны настоящих веб-ресурсов с фейковыми инструментами приема платежей. Об этом "Газете.
Ru" рассказал технический директор российской ИТ-компании MD Audit (входящей в группу Softline) Юрий Тюрин."Сегодня фишинговый сайт может быть построен не "на коленке", а на базе настоящих компонентов, украденных доступов и части оригинальной инфраструктуры. То есть может выглядеть максимально достоверно, — пояснил Тюрин "Газете.Ru".
Особую опасность, по мнению эксперта, представляют мошеннические страницы продажи билетов на популярные новогодние мероприятия, такие как балет "Щелкунчик", где ажиотаж заставляет пользователей действовать быстро и невнимательно.
Типичный сценарий обмана выглядит так: пользователь, ища билеты через поисковик, переходит по ссылке на сайт-клон с полностью скопированным дизайном и функционалом. При попытке оплаты данные банковской карты уходят мошенникам, а клиент получает фальшивый билет или ничего.
Shai Hulud облегчает этот процесс, похищая у разработчиков компаний CI/CD-токены — "мастер-ключи" для автоматической сборки и обновления сайтов. Получив эти ключи, злоумышленники могут развернуть технически точную копию легитимного сайта, заменив лишь платежный сервис на свой.
"Shai Hulud – не "вирус для сайтов", а инструмент кражи доступов разработчиков. Он заражает компьютеры и рабочие окружения инженеров в компаниях и ворует инструменты создания правдоподобных сайтов.
То есть он не взламывает сайт напрямую, а ворует ключи от "фабрики", которая этот сайт выпускает. Дальше эти доступы либо сразу используются самими атакующими, либо продаются на теневых рынках как "доступ к инфраструктуре компании", – добавил эксперт.Получив эти данные, мошенники берут реальный код платежных страниц, разворачивают точную копию сайта продажи билетов, меняют только один блок (куда уходят деньги), подключают рекламу и выводят фейковый сайт в поисковую выдачу.
"В итоге пользователь попадает не на "самопал", а на сайт, который технически выглядит как настоящий", – подчеркнул Тюрин.
Свежие комментарии