Тысячи украденных паролей стали доступны в поиске Google

В августе прошлого года мошенники начали рассылку фишинговых писем, замаскированных под уведомления о сканировании от Xerox. Письма содержали вредоносное вложение в формате HTML, которому удалось обойти защитные фильтры Microsoft Office 365. В результате более тысячи учетных данных сотрудников компаний по всему миру оказались в руках злоумышленников. Украденные логины и пароли хранились на скомпрометированных серверах. Google, который постоянно индексирует страницы в Интернете, включил страницы с украденными данными в результаты поиска, по сути сделав их доступными для любого пользователя. Другими словами, каждый, кто ввел бы простой запрос в поисковую строку Google, смог бы узнать пароли к взломанным аккаунтам — настоящий подарок для хакеров.

Хакеры разослали потенциальным жертвам фишинговые письма, содержащие вредоносное вложение в формате HTML.

Открыв вложение, пользователь попадал на фишинговый сайт, копировавший стартовую страницу популярных компаний, в данном случае Xerox.

Адреса электронной почты и пароли, которые работники компаний вводили на фишинговом сайте, отправлялись на страницы на скомпрометированных серверах в формате текстовых файлов.

Google, постоянно индексирующий веб-страницы, автоматически включил файлы с украденными данными в результаты поиска, сделав их доступными любому пользователю, который введет подходящий запрос.

«Если учетные данные были украдены, людям кажется, что в худшем случае хакеры продадут их в даркнете. Однако в этот раз доступ к персональным данным получили все Интернет-пользователи. Хакеры специально создали веб-страницы для хранения логинов и паролей жертв, но не учли одного: если сами они могут найти эти страницы через Интернет, то Google тоже сможет. Это настоящий провал операции с точки зрения ее безопасности», — отмечает Лотем Финкельстин, ведущий эксперт по анализу угроз Check Point.

На основе анализа более 500 пользовательских данных, исследователи Check Point Research выяснили, что наибольший интерес для организаторов фишинговой кампании представляли строительный бизнес и электроэнергетическая отрасль.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!