8361 подписчик

Хакеры начали проводить атаки с применением заголовков HTTP для кражи конфиденциальной информации

17 сентября 202417 сен 2024

1 мин

Специалисты по информационной безопасности из компании Palo Alto Networks сообщили о выявлении новых фишинговых операций, в рамках которых хакеры начали использовать записи «refresh» в HTTP-заголовках, чтобы доставлять фейковые веб-страницы с формами входа потенциальным жертвам. Основной задачей киберпреступников в данном случае является кража учётных данных пользователей.

В компании Palo Alto Networks отметили, что эти киберпреступные операции отличаются от традиционных фишинговых атак, где сервер отправляет заголовок ответа до обработки HTML-контента. Главная особенность таких атак заключается в том, что вредоносные ссылки заставляют браузер пользователя обновлять и перезагружать страницу автоматически, без какого-либо взаимодействия с самим пользователем.

Согласно проведённому исследованию, около 36% подобных кибератак были направлены против различных финансовых организаций, 13% — против банковских учреждений, 7% — против учреждений государственного сектора и 6% — против медицинских учреждений.

Исследователи указали, что атаки данного типа начинаются с доставки пользователю вредоносных ссылок через URL, встроенный в нестандартный заголовок ответа HTTP Header Refresh, где также могут быть указаны email-адреса получателей. Вредоносные ссылки, на которые перенаправляется жертва, встроены непосредственно в заголовок ответа Refresh.

Эксперты также уточнили, что в некоторых случаях вредоносные URL-адреса маскируются под легитимные домены, а в остальных случаях ведут на заранее скомпрометированные ресурсы. В процессе перехода начинается серия перенаправлений пользователя на различные веб-страницы, в результате чего человек оказывается на поддельной странице с формой авторизации популярных интернет-сервисов и сайтов.

Оригинал публикации на сайте CISOCLUB: "Хакеры начали проводить атаки с применением заголовков HTTP для кражи конфиденциальной информации".