Новая фишинговая кампания нацелена на пользователей Dropbox

Эксперты из Symantec  сообщили о новой фишинговой кампании, жертвами которой становятся пользователи Dropbox. Злоумышленники рассылают электронные письма с пометкой «важно», в которых сообщается о том, что получателю якобы был отправлен слишком большой для пересылки по электронной почте документ. Пользователю предлагается просмотреть документ, кликнув на ссылку в сообщении. Эта ссылка ведет на поддельную страницу авторизации в Dropbox, которая подобно фотографиям и другим файлам хранится в домене пользовательского контента Dropbox.

Соединение со страницей осуществляется через SSL, что делает атаку еще боле опасной. Подделка выглядит практически так же, как настоящая. Отметим, что в данном случае злоумышленников интересует получение учетных данных пользователей не только Dropbox, но также одного из популярных сервисов электронной почты.

После того, как пользователь нажал «Вход», его имя и пароль через SSL отправляются PHP скрипту на скомпрометированном сервере. Без использования вышеуказанного протокола пользователь получает соответствующее уведомление безопасности. После сохранения и отправки учетных данных злоумышленникам PHP скрипт перенаправляет пользователя на настоящую страницу авторизации в Dropbox. Примечательно, что некоторые ресурсы на странице не используют SSL, в связи с чем последние версии некоторых web-браузеров отправляют пользователям уведомления безопасности.

Эксперты из Symantec сообщили Dropbox об угрозе, вследствие чего фишинговая страница была немедленно заблокирована.