Эксперты из Symantec сообщили о новой фишинговой кампании, жертвами которой становятся пользователи Dropbox. Злоумышленники рассылают электронные письма с пометкой “важно”, в которых сообщается о том, что получателю якобы был отправлен слишком большой для пересылки по электронной почте документ. Пользователю предлагается просмотреть документ, кликнув на ссылку в сообщении. Эта ссылка ведет на поддельную страницу авторизации в Dropbox, которая подобно фотографиям и другим файлам хранится в домене пользовательского контента Dropbox.
Соединение со страницей осуществляется через SSL, что делает атаку еще боле опасной. Подделка выглядит практически так же, как настоящая. Отметим, что в данном случае злоумышленников интересует получение учетных данных пользователей не только Dropbox, но также одного из популярных сервисов электронной почты.
После того, как пользователь нажал “Вход”, его имя и пароль через SSL отправляются PHP скрипту на скомпрометированном сервере. Без использования вышеуказанного протокола пользователь получает соответствующее уведомление безопасности. После сохранения и отправки учетных данных злоумышленникам PHP скрипт перенаправляет пользователя на настоящую страницу авторизации в Dropbox. Примечательно, что некоторые ресурсы на странице не используют SSL, в связи с чем последние версии некоторых web-браузеров отправляют пользователям уведомления безопасности. Эксперты из Symantec сообщили Dropbox об угрозе, вследствие чего фишинговая страница была немедленно заблокирована. (Symantec/NovostIT)