Мошенники из Facebook используют «облако» Amazon для переадресации жертв

31 январь, 2012 - 11:50

Как сообщают специалисты компании F-Secure, орудующие в Facebook мошенники переадресовывают своих жертв через «облако» Amazon, таким образом обходя URL фильтры, выявляющие подозрительные ссылки.

Стандартная модель действия хакеров такова: они используют расширения браузера, чтобы взломать учетную запись и разместить на стене жертвы сообщение со ссылкой. Укороченные ссылки, например Bit.ly, которые на первый взгляд ведут к видеофайлу, на самом деле инициируют работу скрипта, переадресовывающего жертву на Amazon S3, а затем — на поддельную страницу Facebook. Далее пользователю предлагается установить обновление YouTube (на самом деле поддельное), а после этого, при попытке щелчке пользователя на окно с видео — запускает предложение об участии в опросе. Мошенники получают доход от партнерских программ, в зависимости от числа привлеченных участников опроса.

Как подчеркивает руководитель исследовательского подразделения F-Secure Микко Хиппонен (Mikko Hypponen), «облако» Amazon было выбрано мошенниками не случайно — это доменное имя и IP адреса имеют высокую степень защиты, что позволяет с легкостью проходить URL фильтры Facebook. Сама по себе переадресация — новая уловка мошенников, но хостинг вредоносного ПО в облачном сервисе уже встречался ранее. Расценки Amazon S3 невелики, одни кибермошенники создают собственные учетные записи, оплачивая их с помощью краденых кредиток, другие — пользуются ворованными учетными записями.