Клиенты российских хостинг-провайдеров под прицелом «фишеров»

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает пользователей о появлении новой мошеннической схемы, целью которой является похищение администраторских учетных записей веб-сайтов, размещающихся на серверах российских хостинг-провайдеров. На сегодняшний день уже зафиксированы атаки на пользователей компаний «Петерхост», SpaceWeb и FirstVDS.

В течение последних полутора месяцев фишинговой атаке подверглись пользователи как минимум трех российских хостинг-провайдеров: компаний «Петерхост», SpaceWeb и FirstVDS. Однако у аналитиков «Доктор Веб» имеются основания полагать, что аналогичная опасность в будущем может угрожать и клиентам других организаций, предоставляющих подобные услуги.

Во всех зафиксированных случаях злоумышленники действовали схожим образом. С помощью общедоступных служб WHOIS мошенники определяли список веб-сайтов, размещающихся у выбранного хостинг-провайдера, тем же способом они вычисляли контактный адрес электронной почты владельца ресурса. На этот адрес злоумышленники отправляли письмо якобы от имени администрации хостинг-провайдера. В частности, клиентам SpaceWeb и FirstVDS мошенники сообщали о том, что размещенный у этого провайдера сайт якобы превысил лимит нагрузки для текущего тарифного плана. В целях решения этой проблемы получателю письма предлагалось перейти по ссылке, ведущей на поддельную веб-страницу, внешний вид которой практически полностью копировал оформление официального сайта хостинг-провайдера. В то же время URL фишингового сайта, содержащий в себе часть адреса настоящего ресурса хостинг-провайдера, располагался на другом домене. Если жертва вводила в соответствующую форму учетные данные своего аккаунта, они незамедлительно попадали в руки мошенников.

Передача злоумышленникам учетных данных для доступа к панели управления хостингом чревата тем, что мошенники могут без ведома владельца сайта произвольным образом модифицировать его содержимое, например, организовать на нем распространение вредоносных программ или разместить незаконный контент.

Адреса поддельных веб-сайтов уже добавлены в базы Dr.Web. Компания «Доктор Веб» призывает пользователей проявлять бдительность и внимательно следить за адресами открываемых в браузере сайтов. Во всех спорных и подозрительных случаях мы рекомендуем обращаться за разъяснениями в службу технической поддержки соответствующей компании, предоставляющей услуги хостинга.