Пользователь-жертва атаки получает письмо-уведомление о регистрации на сайте магазина — с настоящего адреса магазина. А в поле пароля закономерно отображается спамерский текст с активным линком на другие сайты, где после перехода у пользователя могут попросить личную информацию.
Неустановленные лица используют email-базы пользователей в процессе авторизации на сайте магазина так, что в результате пользователь получает письмо от самого магазина, но со спам-ссылкой внутри. В деталях редакции AIN.UA подробности атаки рассказали в интернет-магазине F.ua (бывший Fotos.ua). В результате мошеннических действий письма со спам-ссылками были разосланы по примерно 17 000 пользователей. По данным редакции, в ходе атаки могли пострадать и другие магазины, информация сейчас уточняется.
Атака использует довольно примитивную схему. Она работает в том случае, если после регистрации нового пользователя интернет-магазин шлет ему письмо с напоминанием пароля. Пользователь, имеющий некую базу email-адресов, регистрирует новые профили на сайте магазина по адресам из базы.
Но в поле пароля вместо собственно пароля указывает спамерскую ссылку и приводит такой текст с обещанием легкого заработка: «нaпoминаeм, у ваc нe израсходoванный денежный бoнyc 1895$ www.qz.eu@pokupki.win#mr.bi. Бонyc вы можeте cнять нa бaнкoвскую кapту или электрoнный кoшелек до 23.02». Подобный же способ срабатывает и в том случае, если ввести спамерский текст в форму имени пользователя, а не пароля.
В результате пользователь-жертва атаки получает письмо-уведомление о регистрации на сайте магазина — с настоящего адреса магазина. А в поле пароля закономерно отображается спамерский текст с активным линком на другие сайты, где после перехода у пользователя могут попросить личную информацию.
В интернет-магазине сообщили, что на данный момент уязвимость уже устранена. Самый простой способ избавиться от нее: ограничить количество символов для поля пароля. Тем интернет-магазинам, которые хранят базы паролей пользователей в незашифрованном виде, будет проще проверить, попали ли они под это мошенническое действие.
На сейчас неизвестно, проходила ли рассылка по пользователям других крупных интернет-магазинов. В случае, если вы получали подобное письмо от интернет-магазина, не переходите по ссылке.