Спамеры злоупотребляют .gov Укорачивание URL-адресов в мошенничестве на работе

Спамеры нашли способ злоупотреблять услугой сокращения URL-адресов, предназначенной для деятельности государственных СМИ в США, с целью создания rogue.gov URL-адреса для мошенников на работе.

Исследователи безопасности из Symantec обнаружили новую кампанию спама по электронной почте, которая пытается обмануть пользователей в посещенных URL-адресах с доменным именем 1.usa.gov. Этот домен был создан в результате партнерства между официальным веб-порталом US.gov, официальным веб-порталом США и службой короткого URL-адреса.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

на странице справки о USA.gov, когда кто-либо использует Bitly.com для сокращения URL-адресов, которые заканчиваются на.gov или.mil, служба будет генерировать URL-адрес коротких сообщений в домене 1.usa.gov.

«Короткий URL-адрес может привести пользователя к заслуживающему доверия сайту или сайту спама, но пользователь не будет знать, прежде чем он или она щелкнет. Вот почему USA.gov упростил для людей создание коротких, надежных URL-адресов, которые указывают только на официальную информацию правительства США », - поясняет веб-страница.

Однако кажется, что спамеры выяснили способ злоупотребления службы и присущего доверия, связанного с URL-адресами.gov, используя открытые сценарии переадресации, найденные на некоторых веб-сайтах.gov.

Сценарии переадресации используются владельцами веб-сайтов для отслеживания кликов на сторонних URL-адресах, перечисленных на их сайтах, для отображения предупреждений на что они покидают сайт или для других целей. Однако эти сценарии часто остаются незащищенными и открытыми для любого места назначения, что приводит к так называемым открытым уязвимостям переадресации.

«Используя уязвимость с открытым перенаправлением, спамеры смогли настроить URL-адрес 1.usa.gov, который приводит к созданию веб-сайта спама », - сказал в пятницу в блоге сотрудник исследовательской группы Symantec Эрик Парк. В частности, спамеры использовали открытый сценарий переадресации из веб-сайта Департамента труда штата Вермонт web-labor.vermont.gov, сказал он.

Во-первых, спамеры, стоящие за этой кампанией, создали мошеннические сайты, маскирующиеся как сайты финансовых новостей, содержащие статьи о возможностях работы на дому. Этот тип мошенничества существует уже много лет, и его цель - убедить пользователей платить за стартовые комплекты или подписки на услуги, которые предположительно позволят им начать зарабатывать деньги в Интернете, работая со своего домашнего компьютера.

Используемые сайты мошенников в этой кампании были размещены на таких доменах, как consumeroption.net, consumerbiz.net, workforprofit.net, consumerneeds.net, consumerbailout.net и т. д.

Спамеры использовали уязвимость открытой переадресации на веб-сайте labor.vermont.gov для создания URL-адрес формы labor.vermont.gov/LinkClick.aspx?link=[scam website]. Эти URL-адреса затем передавались по Битлу, чтобы генерировать короткие URL-адреса 1.usa.gov, поэтому создавая двухступенчатую цепочку перенаправления.

«Используя преимущества укороченных URL-адресов или уязвимости с открытым перенаправлением, не является новой тактикой, тот факт, что спамеры могут использовать сервис.gov, чтобы создавать свои собственные ссылки, вызывает беспокойство », - сказал Парк.

Публичная статистика, предоставленная Bitly для URL-адресов изгоев 1.usa.gov, используемых в этой спам-кампании, показала, что ссылки были было кликнуто 43 049 раз между 12 октября и 18 октября, при этом значительная шина в размере щелчка 18 октября.

«В число четырех ведущих стран ежедневно входят США, Канада, Австралия и Великобритания, - сказал Парк. «В совокупности Соединенные Штаты составили самый большой кусочек с 61,7 процентами кликов».

URL-адреса Gov могут вызывать более высокую степень доверия. Тем не менее, пользователи должны всегда проявлять осторожность при открытии ссылок, независимо от того, где они, по-видимому, указывают, сказал Парк.