Мошенники шлют спам от имени и с серверов украинских интернет-магазинов: как это исправить
Некоторые крупные украинские интернет-магазины столкнулись с необычной механикой мошенничества. Неустановленные лица используют email-базы пользователей в процессе авторизации на сайте магазина так, что в результате пользователь получает письмо от самого магазина, но со спам-ссылкой внутри. В деталях редакции AIN.UA подробности атаки рассказали в интернет-магазине F.ua (бывший Fotos.ua). В результате мошеннических действий письма со спам-ссылками были разосланы по примерно 17 000 пользователей. По данным редакции, в ходе атаки могли пострадать и другие магазины, информация сейчас уточняется.
Атака использует довольно примитивную схему. Она работает в том случае, если после регистрации нового пользователя интернет-магазин шлет ему письмо с напоминанием пароля. Пользователь, имеющий некую базу email-адресов, регистрирует новые профили на сайте магазина по адресам из базы.
Но в поле пароля вместо собственно пароля указывает спамерскую ссылку и приводит такой текст с обещанием легкого заработка: «нaпoминаeм, у ваc нe израсходoванный денежный бoнyc 1895$ [email protected]#mr.bi. Бонyc вы можeте cнять нa бaнкoвскую кapту или электрoнный кoшелек до 23.02». Подобный же способ срабатывает и в том случае, если ввести спамерский текст в форму имени пользователя, а не пароля.
В результате пользователь-жертва атаки получает письмо-уведомление о регистрации на сайте магазина — с настоящего адреса магазина. А в поле пароля закономерно отображается спамерский текст с активным линком на другие сайты, где после перехода у пользователя могут попросить личную информацию.
В интернет-магазине сообщили, что на данный момент уязвимость уже устранена. Самый простой способ избавиться от нее: ограничить количество символов для поля пароля. Тем интернет-магазинам, которые хранят базы паролей пользователей в незашифрованном виде, будет проще проверить, попали ли они под это мошенническое действие.
На сейчас неизвестно, проходила ли рассылка по пользователям других крупных интернет-магазинов. В случае, если вы получали подобное письмо от интернет-магазина, не переходите по ссылке.
Напомним, в среду 7 февраля Министерство юстиции США заявило о раскрытии киберпреступной организации Infraud, которая действовала с октября 2010 года. Организацию основал 34-летний украинец.
Комментарии | 5
Рассылка не по базе магазина, а по базе спамера. Хранение паролей в зашифрованном виде не спасает, т.к. письмо . в таком виде отправляется до шифровки так же спам текст можно вставить не только вместо пароля, но вместо имени
Хоспаде… Какой позор ТАК делать сайты.
На дворе 2018-й, а кто-то по старинке еще полагается на валидный ввод и вдобавок отправляет креды на почту!
«Уязвимость на 99% всех сайтов. Проверено.» — Статистика с потолка конечно же?
Хоть бы уже подсмотрели на других сайтах как нужно делать регистрацию. Вот тот же AIN образцово организовал все.
Основной движок сайта создавался в 2008 и в то время это было норма. Боюсь спросить, чем вы занимались в том году?
Может и приукрасил ситуацию, но проверил 5 конкурентов. Только у одного нельзя было ввести в поле пароля или имени текст и ссылку. Мы пофиксили через час — у остальных так и открыто. Экспериментируйте — может быстрее закроют.
P.S. Новость для этого и инициировали, что бы кому нужно прочитали и проверили себя. У меня в комментах под постом такие же «дерзкие» умничали про наш профессионализм, после чего я зашел и с их сайта оправил подобное письмо 🙂
Соглашусь, что раньше это была норма. Все так делали и не особо задумывались, но прошло 10 лет же 🙂 Технологии все же не стоят на месте и если держать крупный проект, то, как по мне, важно не забывать о безопасности.
Про новость я ничего не сказал плохого. На ошибках нужно учиться, дабы избегать подобных случаев.
P.S. Все же задумайтесь о реализации более современного способа регистрации и откажитесь от отправки пароля на почту. Всех благ! ?
Ольге спасибо за пост, Дмитрию за полезную техническую информацию! Показан отличный пример работы хакерской мысли, подмечающей уязвимые места, которые на первый взгляд кажутся островками безмятежности.
Любителям же поязвить замечу, Дмитрий представитель крупного магазина — потому там хоть что-то заметили, не боясь насмешек разобрались, пофиксили и оповестили других о возможной проблеме.
Чтобы представить размах проблемы, задумайтесь сколько дыр, начиная с очевидных до таких вот неприметных, кроется в средних и мелких магазинах. Они имеют неторопливую сигнальную систему или вообще никакой, чтобы заметить что происходит. Им не хватает ресурсов, чтобы после случившегося тут же отыскать угрозу и пути защиты. Наконец, они просто ограничены бюджетом и потому обслуживаются дворовыми вебстудиями или чередой пропадающих мальчиков с фриланса. Значит к природным багам платформы, а от них не застрахованы и самые технологичные, добавятся уязвимости, которые наплодят наёмные работники в дописанном коде сайта, например макетах емейл-писем.
Это понятно, что в конечном счёте всё сводится к вопросу квалификации. Но она либо стоит дорого, либо обретается десятилетием набитых шишек. Так что ехидничать по поводу профессионализма тех, кто рассказал вам полезные сведения из своего горького опыта, не стоит.