Измамниците, които се представят за техническа поддръжка намериха нов начин за пробив при браузъра Google Chrome.
Кибер-престъпниците разчитат на на режима за пълен екран при Google Chrome, на умело направено изображение и на измамническа страница, която напълно наподобява страницата за поддръжка на Майкрософт (виж изображение), където са посочени телефони за решаване на проблема. Телефоните са представени като официална връзка с Майкрософт, но те всъщност водят до измамниците, на които потребителите ще трябва да платят, за да им бъде оправен компютърът.
Когато потребителите отидат на тази страница, се активира скрит JavaScript код, който превключва браузъра на жертвата в режим на пълен екран. При влизането в режим на пълен екран се скрива панелът с инструментите и тогава се зарежда JPEG изображение, което е направено да изглежда точно като панела с инструментите на Chrome, на мястото на стария панел, където той би бил, ако не е в пълен екран.
Ако потребителят не използва друга тема за Chrome или версия с друг панел, то той не може да види абсолютно никаква разлика. Единственият начин е да даде с мишката най-горе на екрана, за да се покаже истинският панел. Визуално обаче всичко е едно и също и заблудата е пълна.
Този трик е бил забелязан от екипа на Malwarebytes, а след това открили още един, който също е насочен към браузъра Chrome. Във втория вариант кибер-престъпниците създават прозорец с уведомление (попъп), който абсолютно точно наподобява този на Chrome, когато пита потребителите дали искат да забранят на някоя страница да създава допълнителни диалози („prevent this page from creating additional dialogs“).
Измамниците създават фалшиви попъп прозорци и когато потребителите цъкнат на съответния чекбокс, те продължават да изкарват още и още съобщения.
С тази тактика измамниците се надяват, че при стартирането на скрития JavaScript, въпреки че Chrome ще покаже съобщение за блокиране, повечето потребители няма да повярват и ще го игнорират. След това вече измамниците имат пълната свобода да изкарват неограничен брой съобщения.
Хитри трикове като тези показват колко широко поле на действие имат кибер-престъпниците, които решат да измамят потребителите, за да ги накарат да се обадят в техните центрове по поддръжка и съответно в последствие да си платят, за да бъде решен техният проблем.
За лош късмет подобни фалшиви сайтове по поддръжка не са един или два, а са стотици хиляди и дори милиони, като само един измамник може да пусне стотици. Например, този измамник, който от Malwarebytes са открили, е регистрирал над 200 домейна, които е използвал за измами през последните 4 месеца.
@lancesaki Just checked that. Unbelievable…@Techhelplistcom @JAMESWT_MHT @Antelox @executemalware @jeromesegura pic.twitter.com/X37kMiQNO7
— MalwareHunterTeam (@malwrhunterteam) August 26, 2016