Речь идет о так называемом скрытом редиректе, который срабатывает при попытке авторизации. Новая уязвимость на «Госуслугах» использует переадресацию: пользователь, переходя по вполне легитимной ссылке, незаметно для себя попадает с реального ресурса на фейковый. Ссылки распространяются в соцсетях и мессенджерах, а использование в схеме государственного портала усложнило россиянам выявление фейкового ресурса.
На портале госуслуг обнаружили уязвимость, с помощью которой мошенники могут перенаправить пользователей на сторонние интернет-ресурсы, рассказал эксперт инжинирингового центра SafeNet Национальной технологической инициативы (НТИ) Игорь Бедеров. Об этом сообщает РИА Новости.
Он пояснил, что речь идет о так называемом скрытом редиректе, который срабатывает при попытке авторизации. О выявленной уязвимости уже сообщили администрации портала.
«Пользователь попадает на страницу ввода “капчи” на сайте госуслуг. После ее введения пользователь может быть переадресован на любой другой сетевой ресурс, в том числе содержащий вредоносное программное обеспечение, которое будет автоматически установлено на устройство жертвы», — сказал Бедеров.
Обратите внимание
Уязвимость связана с тем, что сайт не запрещает осуществлять переадресацию на другие ресурсы. В результате киберпреступник может создать ссылку, которая будет начинаться с адреса настоящих «Госуслуг», и лишь в конце будет записан ресурс, на который пользователь попадет после ввода «капчи» (комбинации букв и цифр) на «Госуслугах». Из-за легкого способа перехода без взлома самого ресурса мошенники могли активно использовать уязвимость, которая скрытно переводит пользователя на тот ресурс, который заранее готовит киберпреступник.
По его словам, пользователь сможет увидеть только первую часть ссылки, содержащую адрес портала госуслуг, а ее перенаправляющая часть будет скрыта мессенджером или соцсетью. Ранее аналогичные схемы использовались для YouTube, Instagram и «ВКонтакте».
«Для защиты своих данных и устройств пользователям следует обязательно проверять адрес ссылки перед переходом по ней, сделать это можно при помощи антивирусов и расшифровщиков гиперссылок. Так, пользователь сможет заранее увидеть, на какой ресурс в итоге он попадет и не скачает ли он по дороге вредонос», — уточнил эксперт.
Также Бедеров посоветовал вовремя обновлять все используемое программное обеспечение, чтобы обезопасить себя от уязвимостей до того, как ими успеют воспользоваться мошенники.
Ранее в Сбербанке предупредили о новой схеме мошенничества, целью которой является кража личных данных пользователей портала госуслуг. Об этом рассказал зампред правления Сбербанка Станислав Кузнецов.
Как заявил эксперт, злоумышленники сообщают гражданам о якобы откреплении от поликлиники из-за технической ошибки. Затем мошенники предлагают жертвам пройти повторную регистрацию, которая происходит на поддельном сайте сервиса, а также оплатить пошлину.
Обратите внимание
Бедеров уточнил, что пользователь зачастую увидит только часть ссылки, в которой заметен официальный сайт «Госуслуг», без той части, куда он будет перенаправлен после ввода «капчи». Эта часть будет обрезана социальной сетью или мессенджером. Специалист сообщил «Госуслугам» о найденной уязвимости.
Как распространяется «обманка»
Директор департамента корпоративного бизнеса ESET в России и СНГ Антон Пономарев объяснил «Газете.Ru», что ссылки на подделки «Госуслуг» распространяются в мессенджерах и соцсетях.
«Если на смартфоне с установленным приложением «Госуслуг» ссылка ведет на некий сайт, а не активирует вход через приложение, то это явный сигнал о подлоге», — добавил Пономарев.
Директор подразделения DevOps/DevSecOps, сооснователь Proto Group Денис Безкоровайный рассказал «Газете.Ru», что с помощью этой схемы злоумышленники пытаются спровоцировать жертву пройти по ссылке из электронного письма, смс или сообщения на веб-сайте.
«Ссылка действительно может при такой уязвимости вести на этот портал, но далее произойдет перенаправление пользователя на веб-сайт для установки вредоносного ПО», — отметил эксперт.
Безкоровайный пояснил, что ссылка, которая изначально ведет на реальный госсайт, вызывает больше доверия у пользователя.
«Уязвимости такого класса — довольно популярный способ увеличить количество установок вредоносного ПО за счет доверия пользователей к легитимному ресурсу», — заметил он.
Чем завлекают россиян для перехода по таким ссылкам
По словам Антона Пономарева из ESET, жертв заманивают на вредоносные ресурсы сообщениями в соцсетях и мессенджерах от «Госуслуг» о выигрышах за участие в прививочной кампании или регистрации на онлайн-голосование в преддверии выборов.
Обратите внимание
Также используются призывы оплатить задолженность за коммунальные услуги или автомобильный штраф. «Желание немедленно разобраться и сообщить об ошибке может спровоцировать на необдуманные действия в интернете», — заметил специалист.
Интерес мошенников к порталу «Госуслуг» связан с популярностью ресурса у россиян, считает он.
«Пришла осень, и люди начинают активно оформлять документы, записывать детей в образовательные учреждения, записываться в поликлиники — и все это через многофункциональный сервис», — уточнил Пономарев.
Денис Безкоровайный из Proto Group отметил, что злоумышленники также могут имитировать формат рассылок, который в последнее время стал популярен у «Госуслуг».
Обратите внимание
Не менее популярна и классическая схема обмана: сообщение о выплате от государства. Для получения средств якобы необходимо перейти по присланной ссылке.
Специалист считает, что, возможно, мошенники не успели в полной мере воспользоваться выявленной уязвимостью. «Массовые спам и скам-кампании, как правило, попадают на радары организаций, занимающихся антивирусной защитой», — пояснил он.
Как не попасться
Антон Пономарев из ESET посоветовал в случае с «Госуслугами» доверять только мобильному приложению и рассылке по электронной почте. По его словам, сообщение из других, сомнительных источников стоит оценивать как потенциально опасное и не переходить по ссылке.
Специалист уточнил, что прямой вход на государственный портал позволит избежать взлома и узнать, действительно ли есть новая информация по заявкам.
«Чтобы не попасться на фишинг, нужно проверять протокол страницы HTTPS, который шифрует данные между веб-сервером и браузером пользователя», — добавил Пономарев. У браузеров такие страницы имеют значок замка в адресной строке.
Денис Безкоровайный из Proto Group пояснил, что выбранный вектор атаки является типичным для мошенников, но из-за большей легитимизации ссылки повышается вероятность первого шага — клика по ней.
«Самое страшное, что может случиться с жертвой — установка вредоносного программного обеспечения на компьютер или смартфон. Это влечет за собой множество других рисков: потеря контроля над учетными записями, кража данных и финансовые потери», — отметил эксперт.
Он заключил, что успешность атаки мошенников можно уменьшить при использовании антивируса и работе в ОС под непривилегированной учетной записью. Аккаунты администратора дают крайне широкий доступ к возможностям систем, чем и пользуются киберпреступники.