Маленький символ «%2B» в адресе может стоить вам банковского счёта

Мошенники научились перехватывать поисковые запросы пользователей, которые ищут круглосуточную поддержку у таких компаний, как Apple, Bank of America, Facebook, HP, Microsoft, Netflix и PayPal. Они выдают себя за службы поддержки и обманывают людей, заставляя их передавать личные данные или доступ к компьютеру. Об этом предупредил старший директор по исследованиям Malwarebytes Жером Сегюра.

Атака основана на приёме, который называют «поисковое отравление» . Злоумышленники манипулируют алгоритмами поисковых систем, чтобы вредоносные сайты поднимались выше в выдаче. В данном случае речь идёт о платной рекламе в Google, которая ведёт на настоящий сайт компании, например Netflix, но с заранее встроенным поддельным номером телефона.

Ссылка в объявлении действительно ведёт на оригинальный домен, из-за чего браузеры вроде Chrome не распознают переход как опасный. Пользователь вводит в поиск фразу вроде «24/7 поддержка Netflix», видит рекламный результат и переходит по нему. Открывается настоящий сайт Netflix, но в строке поиска внутри сайта автоматически отображается номер телефона. Этот номер кажется официальным, хотя на самом деле он принадлежит мошенникам.

Причина уязвимости — в том, что сайт Netflix без проверки отражает любые данные из поискового запроса. Это позволяет вставить любой текст в адресную строку и отобразить его на странице. В результате страница выглядит легитимной, но с подставленным фейковым номером.

Если пользователь не замечает подвоха и звонит по указанному номеру, начинается следующий этап атаки. Мошенник представляется сотрудником поддержки, выспрашивает личные данные, логины и пароли, а иногда уговаривает предоставить удалённый доступ к устройству. После этого злоумышленники могут украсть деньги с аккаунтов, получить доступ к почте, банковским сервисам и личным файлам, а затем перейти к следующей жертве.

Также специалисты советуют обращать внимание на странности в адресной строке. Если вы видите подозрительные фразы вроде «позвонить сейчас» или в адресе появляются номера телефонов и закодированные символы вроде %20 или %2B, это серьёзный повод насторожиться. И главное — настоящая техподдержка никогда не попросит назвать ваш пароль или банковские данные.