Нещодавно представлений інструмент Google спрощує обхід фішингових фільтрів. Тепер шахраї можуть використовувати Google App Engine для обходу засобів контролю безпеки.
- На платформі OLX з’явився ще один вид шахрайства
- В Україні з’явилася шахрайська схема, яка розповсюджується електронною поштою
- YouTube вимагатиме документи для підтвердження віку користувачів
У Google довгі роки були проблеми з фішинговими атаками. Ще в 2019 році Google Translate використовувався, щоб обдурити користувачів за допомогою фішингу. Однак здавалося, що Google впорався з цією проблемою, оскільки співробітники продемонстрували, що можуть використовувати ключі безпеки для методу захисту. Але проблема криється в тому, як Google App Engine обробляє піддомени. Це означає, що шахраї можуть легко проводити фішингові кампанії непоміченими.
У звичайних сценаріях, люди можуть використовувати Google App Engine для розробки і розміщення веб-додатків. Однак хмарна платформа може дозволити людям обійти заходи безпеки. Це, у свою чергу, дозволяє перенаправляти жертв на шкідливі цільові сторінки.
Через цей недолік люди можуть приховати своєю шахрайську діяльність. Зокрема, налаштувавши цілу купу недійсних піддоменів, які автоматично перенаправляють на один головний шкідливий додаток, що ускладнює відстеження їхньої активності. Іншими словами, це означає, що у зловмисників є простий спосіб обійти захист від фішингу.
Фахівцям з кібербезпеки важко впоратися з обходом фішингових фільтрів
Зазвичай, фахівці з безпеки захищають від більшості фішингових атак, в тому числі виявляючи і блокуючи запити до небезпечних піддоменів. Однак це стає набагато складніше через те, як Google App Engine генерує URL-адреси субдоменів. Кожен піддомен має маркер, який відображає версію програми, ім’я служби, її ідентифікатор та ідентифікатор регіону. Проблема виникає, коли ці піддомени недійсні. Поки ідентифікатор програми правильний, піддомен перенаправлятиме на типову сторінку.
Це більш широко відоме як «м’яка маршрутизація», яка дозволяє шахраям створювати величезні об’єми недійсних піддоменів. Причина, з якої це стає настільки важким для фахівців з безпеки, полягає у величезній кількості недійсних піддоменів, які вони можуть створити.
На думку дослідників, зловмисники вже почали використовувати цю уразливість. Зокрема, є список з понад 2000 піддоменів, які вели на фішингову сторінку, замасковану під вхід Microsoft.
Google ще не прокоментував цю проблему. Однак компанії доведеться діяти дуже швидко, щоб спробувати врятувати цю потенційно дуже небезпечну ситуацію.
Правила коментування
Вітаємо Вас на сайті Pingvin Pro. Ми докладаємо всіх зусиль, аби переконатися, що коментарі наших статей вільні від тролінгу, спаму та образ. Саме тому, на нашому сайті включена премодерація коментарів. Будь ласка, ознайомтеся з кількома правилами коментування.
- Перш за все, коментування відбувається через сторонній сервіс Disqus. Модератори сайту не несуть відповідальність за дії сервісу.
- На сайті ввімкнена премодерація. Тому ваш коментар може з’явитися не одразу. Нам теж інколи треба спати.
- Будьте ввічливими – ми не заохочуємо на сайті грубість та образи. Пам’ятайте, що слова мають вплив на людей! Саме тому, модератори сайту залишають за собою право не публікувати той чи інший коментар.
- Будь-які образи, відкриті чи завуальовані, у бік команди сайту, конкретного автора чи інших коментаторів, одразу видаляються. Агресивний коментатор може бути забанений без попереджень і пояснень з боку адміністрації сайту.
- Якщо вас забанили – на це були причини. Ми не пояснюємо причин ані тут, ані через інші канали зв’язку з редакторами сайту.
- Коментарі, які містять посилання на сторонні сайти чи ресурси можуть бути видалені без попереджень. Ми не рекламний майданчик для інших ресурсів.
- Якщо Ви виявили коментар, який порушує правила нашого сайту, обов’язково позначте його як спам – модератори цінують Вашу підтримку.
Схожі новини
3 смартфони з високою обчислювальною потужністю: які моделі обирають українці
Гаджети з продуктивними процесорами забезпечують швидкодію у роботі в режимі багатозадачності, здатні витримувати великі навантаження під час ігрових сесій або в процесі оброблення контенту. Якщо ви плануєте придбати дійсно потужний смартфон, ознайомтеся з моделями, що мають попит в Україні. Підписуйтесь на наш Telegram-канал Apple iPhone 15 Pro Max 256GB 15 покоління смартфонів флагманської лінійки Pro […]
Знову шахрайство! Нова пошта не проводить ніяких акцій та розіграшів в обмін на реєстрації
У святковий час шахрайство особливо набирає обертів. Звертаємо вашу увагу! Наразі у деяких телеграм та вайбер каналах, а також у соціальних мережах шириться велика кількість об’яв про різні розіграші, де шахраї використовують назви відомих компаній. Таким чином вони збирають всю інформацію про людей, які повірили в ці розіграші. Сьогодні зʼявилась інформація про ще один фейковий […]