Чтобы обойти фильтры, определяющие подозрительные ссылки, мошенники из
Facebook переадресовывают своих жертв через облако Amazon, выяснили
специалисты исследовательской компании F-Secure.
Исследование одной из мошеннических операций на Facebook показало, что
хакеры используют расширения браузера, чтобы взломать аккаунт и запостить на
стену жертвы сообщение со ссылкой. Такие укороченные ссылки, вида Bit.ly,
которые должны бы вести на забавное видео, на самом деле ведут к скрипту,
переадресовывающему жертву в сервис S3 от Amazon, в свою очередь
пересылающий посетителя на поддельную страницу Facebook.
Плейер, который показывает картинку из видео, при клике, запускает
предложение об участии в опросе. Мошенники получают деньги через партнерские
программы за каждого участника опроса.
Мошенничество становится возможным для пользователей браузеров Google Chrome
и Firefox при установке поддельного апдейта плейера YouTube. Пользователей
простя установить его, когда они кликают на видео.
Согласно Микко Хуппонену, начальнику исследовательского отдела F-Secure,
мошенники предпочитают пересылать жертвы через облако Amazon, потому что это
доменное имя и IP адреса имеют высокую степень защиты. Это позволяет «усыпить
бдительность» URL фильтров, которые используются Bit.ly или Facebook.
Подобная переадресация – весьма новая мошенническая уловка, но хостинг
вредоносного программного обеспечения в облачном сервисе – нет. Сервис S3 от
Amazon не так дорог, и большинство киберпреступников вполне могут его себе
позволить.
Некоторые мошенники предпочитают красть аккаунты существующих пользователей
Amazon и использовать их в криминальных целях, считает Хиппонен.
«Некоторые киберпреступники пользуютсяч исключительно аккаунтами других людей,
— замечает он. – А другие – создают свои с помощью украденных кредиток, или
даже реальные аккаунты по своим кредиткам, и платят за них».