Мошенники научились перехватывать поисковые запросы пользователей, которые ищут круглосуточную поддержку у таких компаний, как Apple, Bank of America, Facebook, HP, Microsoft, Netflix и PayPal. Они выдают себя за службы поддержки и обманывают людей, заставляя их передавать личные данные или доступ к компьютеру. Об этом предупредил старший директор по исследованиям Malwarebytes Жером Сегюра.
Атака основана на приёме, который называют «поисковое отравление», согласно Securitylab . Злоумышленники управляют алгоритмами поисковых систем, чтобы вредоносные сайты поднимались выше в выдаче. В данном случае речь идёт о платной рекламе в Google, которая ведёт на настоящий сайт компании, например Netflix, но с заранее встроенным поддельным номером телефона.
Ссылка в объявлении действительно ведёт на оригинальный домен, из-за чего поисковики вроде Chrome не распознают переход как опасный. Пользователь вводит в поиск фразу вроде «24/7 поддержка Netflix», видит рекламный результат и переходит по нему. Открывается настоящий сайт Netflix, но в строке поиска внутри сайта автоматически отображается номер телефона. Этот номер кажется официальным, хотя на самом деле он принадлежит мошенникам.
Причина уязвимости — в том, что сайт Netflix без проверки отражает любые данные из поискового запроса. Это позволяет вставить любой текст в адресную строку и отобразить его на странице. В результате страница выглядит настоящей, но с подставленным номером.
Если пользователь не замечает подвоха и звонит по указанному номеру, начинается следующий этап атаки. Мошенник представляется сотрудником поддержки, выспрашивает личные данные, логины и пароли, а иногда уговаривает предоставить удалённый доступ к устройству. После этого злоумышленники могут украсть деньги с аккаунтов, получить доступ к почте, банковским сервисам и личным файлам, а затем перейти к следующей жертве.