Легкий обман
На официальном портале «Госуслуги» обнаружена новая уязвимость. Эксперт инжинирингового центра SafeNet Национальной технологической инициативы (НТИ) Игорь Бедеров рассказал РИА «Новости», что она позволяет перенаправлять пользователей с сайта на любые другие ресурсы.
Уязвимость связана с тем, что сайт не запрещает осуществлять переадресацию на другие ресурсы. В результате киберпреступник может создать ссылку, которая будет начинаться с адреса настоящих «Госуслуг», и лишь в конце будет записан ресурс, на который пользователь попадет после ввода «капчи» (комбинации букв и цифр) на «Госуслугах».
Из-за легкого способа перехода без взлома самого ресурса мошенники могли активно использовать уязвимость, которая скрытно переводит пользователя на тот ресурс, который заранее готовит киберпреступник.
Мошенники могут использовать эту способность для перевода на свои фишинговые ресурсы для обмана и кражи денег или данных. Бедеров уточнил, что пользователь зачастую увидит только часть ссылки, в которой заметен официальный сайт «Госуслуг», без той части, куда он будет перенаправлен после ввода «капчи». Эта часть будет обрезана социальной сетью или мессенджером. Специалист сообщил «Госуслугам» о найденной уязвимости.
Как распространяется «обманка»
Директор департамента корпоративного бизнеса ESET в России и СНГ Антон Пономарев объяснил «Газете.Ru», что ссылки на подделки «Госуслуг» распространяются в мессенджерах и соцсетях.
«Если на смартфоне с установленным приложением «Госуслуг» ссылка ведет на некий сайт, а не активирует вход через приложение, то это явный сигнал о подлоге», — добавил Пономарев.
Директор подразделения DevOps/DevSecOps, сооснователь Proto Group Денис Безкоровайный рассказал «Газете.Ru», что с помощью этой схемы злоумышленники пытаются спровоцировать жертву пройти по ссылке из электронного письма, смс или сообщения на веб-сайте.
«Ссылка действительно может при такой уязвимости вести на этот портал, но далее произойдет перенаправление пользователя на веб-сайт для установки вредоносного ПО», — отметил эксперт.
Безкоровайный пояснил, что ссылка, которая изначально ведет на реальный госсайт, вызывает больше доверия у пользователя.
«Уязвимости такого класса — довольно популярный способ увеличить количество установок вредоносного ПО за счет доверия пользователей к легитимному ресурсу», — заметил он.
Чем завлекают россиян для перехода по таким ссылкам
По словам Антона Пономарева из ESET, жертв заманивают на вредоносные ресурсы сообщениями в соцсетях и мессенджерах от «Госуслуг» о выигрышах за участие в прививочной кампании или регистрации на онлайн-голосование в преддверии выборов.
Также используются призывы оплатить задолженность за коммунальные услуги или автомобильный штраф. «Желание немедленно разобраться и сообщить об ошибке может спровоцировать на необдуманные действия в интернете», — заметил специалист.
Интерес мошенников к порталу «Госуслуг» связан с популярностью ресурса у россиян, считает он.
«Пришла осень, и люди начинают активно оформлять документы, записывать детей в образовательные учреждения, записываться в поликлиники — и все это через многофункциональный сервис», — уточнил Пономарев.
Денис Безкоровайный из Proto Group отметил, что злоумышленники также могут имитировать формат рассылок, который в последнее время стал популярен у «Госуслуг».
Не менее популярна и классическая схема обмана: сообщение о выплате от государства. Для получения средств якобы необходимо перейти по присланной ссылке.
Специалист считает, что, возможно, мошенники не успели в полной мере воспользоваться выявленной уязвимостью. «Массовые спам и скам-кампании, как правило, попадают на радары организаций, занимающихся антивирусной защитой», — пояснил он.
Как не попасться
Антон Пономарев из ESET посоветовал в случае с «Госуслугами» доверять только мобильному приложению и рассылке по электронной почте. По его словам, сообщение из других, сомнительных источников стоит оценивать как потенциально опасное и не переходить по ссылке.
Специалист уточнил, что прямой вход на государственный портал позволит избежать взлома и узнать, действительно ли есть новая информация по заявкам.
«Чтобы не попасться на фишинг, нужно проверять протокол страницы HTTPS, который шифрует данные между веб-сервером и браузером пользователя», — добавил Пономарев. У браузеров такие страницы имеют значок замка в адресной строке.
Денис Безкоровайный из Proto Group пояснил, что выбранный вектор атаки является типичным для мошенников, но из-за большей легитимизации ссылки повышается вероятность первого шага — клика по ней.
«Самое страшное, что может случиться с жертвой — установка вредоносного программного обеспечения на компьютер или смартфон. Это влечет за собой множество других рисков: потеря контроля над учетными записями, кража данных и финансовые потери», — отметил эксперт.
Он заключил, что успешность атаки мошенников можно уменьшить при использовании антивируса и работе в ОС под непривилегированной учетной записью. Аккаунты администратора дают крайне широкий доступ к возможностям систем, чем и пользуются киберпреступники.