Цивилизация
Из-за нового вредоноса Shai Khulud в рунете могут появиться визуально неотличимые от оригиналов мошеннические сайты. Shai Khulud крадет инструменты разработки сайтов, которые потом позволяют мошенникам воспроизводить клоны настоящих веб-ресурсов с фейковыми инструментами приема платежей. Об этом «Газете.Ru» рассказал технический директор российской ИТ-компании MD Audit (входящей в группу Softline) Юрий Тюрин.
«Сегодня фишинговый сайт может быть построен не «на коленке», а на базе настоящих компонентов, украденных доступов и части оригинальной инфраструктуры. То есть может выглядеть максимально достоверно, — пояснил Тюрин «Газете.Ru».
Особую опасность, по мнению эксперта, представляют мошеннические страницы продажи билетов на популярные новогодние мероприятия, такие как балет «Щелкунчик», где ажиотаж заставляет пользователей действовать быстро и невнимательно.
Типичный сценарий обмана выглядит так: пользователь, ища билеты через поисковик, переходит по ссылке на сайт-клон с полностью скопированным дизайном и функционалом. При попытке оплаты данные банковской карты уходят мошенникам, а клиент получает фальшивый билет или ничего.
Shai Hulud облегчает этот процесс, похищая у разработчиков компаний CI/CD-токены — «мастер-ключи» для автоматической сборки и обновления сайтов. Получив эти ключи, злоумышленники могут развернуть технически точную копию легитимного сайта, заменив лишь платежный сервис на свой.
«Shai Hulud – не «вирус для сайтов», а инструмент кражи доступов разработчиков. Он заражает компьютеры и рабочие окружения инженеров в компаниях и ворует инструменты создания правдоподобных сайтов. То есть он не взламывает сайт напрямую, а ворует ключи от «фабрики», которая этот сайт выпускает. Дальше эти доступы либо сразу используются самими атакующими, либо продаются на теневых рынках как «доступ к инфраструктуре компании», – добавил эксперт.
Получив эти данные, мошенники берут реальный код платежных страниц, разворачивают точную копию сайта продажи билетов, меняют только один блок (куда уходят деньги), подключают рекламу и выводят фейковый сайт в поисковую выдачу.
«В итоге пользователь попадает не на «самопал», а на сайт, который технически выглядит как настоящий», – подчеркнул Тюрин.
Ранее выяснилось, что мошенники стали чаще атаковать россиян в Telegram и WhatsApp (владелец компания Meta признана в России экстремистской и запрещена) под видом знаменитостей.
