Как правило, пользователи, заботящиеся о безопасности собственных данных, прежде чем ввести логин и пароль в форму авторизации на каком-либо сайте, обращают внимание на несколько факторов, например, корректность URL и реализацию HTTPS на сайте или используют различные браузерные расширения, определяющие фишинговые домены. Однако недавно эксперты заметили новую фишинговую кампанию, которая может ввести в заблуждение даже самых бдительных пользователей.
По словам специалиста компании-разработчика менеджера паролей Myki Антуана Венсана Жебара (Antoine Vincent Jebara), злоумышленники распространяют ссылки на блоги и сервисы, где пользователям сперва требуется зарегистрироваться через учетную запись в Facebook для того, чтобы прочитать публикацию или приобрести товар по скидке.
Практика регистрации через Facebook или другие соцсети используется многими сайтами для упрощения регистрации в стороннем сервисе. Обычно при нажатии на опцию «Вход через Facebook» происходит либо переадресация на сайт facebook.com или в окне браузера появляется всплывающее окно, где нужно ввести учетные данные для аккаунта в Facebook для аутентификации и разрешения сервису получить доступ к нужной информации в профиле.
Как обнаружил эксперт, вредоносные блоги и online-сервисы после выбора опции «Вход через Facebook» предлагают пользователям весьма реалистично выглядящую фальшивую форму авторизации Facebook, собирающую введенные логин и пароль (так же, как и любой другой фишинговый сайт).
Как видно в демонстрационном видео ниже, фальшивая всплывающая форма, созданная с помощью HTML и JavaScript, является отличной имитацией окна в браузере, включая строку состояния, панель навигации, URL и даже зеленый замок, указывающий на использование HTTPS. Более того, пользователи даже могут взаимодействовать с окном, перетаскивать его в разные стороны или закрыть его так же, как и легитимные окна.