Nadużycie spamerów .gov Usługa skracania adresów URL w oszustwach typu "praca w domu"

Spamerzy znaleźli sposób na nadużycie usługi skracania adresów URL przeznaczonej do działań mediów społecznościowych rządu Stanów Zjednoczonych w celu fałszywe adresy URL.gov dla oszustw typu "praca w domu".

Analitykowi bezpieczeństwa z firmy Symantec wykryto nową kampanię antyspamową, w której próbuje się nakłonić użytkowników do odwiedzenia adresów URL za pomocą domeny 1.usa.gov. Ta domena powstała w wyniku partnerstwa między USA.gov, oficjalnym portalem rządu USA i usługą Bitly URL shortener.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Według do strony z instrukcjami na stronie USA.gov, gdy ktoś używa Bitly.com do skracania adresów URL, które kończą się na.gov lub.mil, usługa wygeneruje skrócony URL w domenie 1.usa.gov.

"Krótki Adres URL może zabrać użytkownika do wiarygodnej witryny lub witryny ze spamem, ale użytkownik nie będzie wiedział, zanim kliknie. Dlatego właśnie USA.gov ułatwiło ludziom tworzenie krótkich, godnych zaufania adresów URL.gov, które wskazują tylko oficjalne informacje rządu Stanów Zjednoczonych ", wyjaśnia strona internetowa.

Wydaje się jednak, że spamerzy znaleźli sposób na nadużycie usługa i nieodłączne zaufanie związane z adresami URL w.gov przez wykorzystanie otwartych skryptów przekierowania znalezionych na niektórych stronach.gov.

Skrypty przekierowania są używane przez właścicieli witryn do śledzenia kliknięć do adresów stron trzecich umieszczonych na ich stronach internetowych, aby wyświetlać ostrzeżenia użytkowników, którzy opuszczają witrynę lub do innych celów. Jednak skrypty te często pozostają niezabezpieczone i otwarte dla dowolnego miejsca docelowego, co powoduje tak zwane luki w zabezpieczeniach typu open redirect.

"Korzystając z luki w zabezpieczeniach typu open-redirect, spamerzy mogli skonfigurować adres URL 1.usa.gov, który prowadzi do strony internetowej ze spamem ", powiedział Eric Park, badacz z firmy Symantec, w piątek w poście na blogu. W szczególności spamerzy użyli otwartego skryptu przekierowania ze strony internetowej Departamentu Pracy Stanu Vermont - laboratorium.vermont.gov, powiedział.

Po pierwsze, spamerzy odpowiedzialni za tę kampanię stworzyli strony internetowe podszywające się pod internetowe serwisy informacyjne zawierające artykuły o możliwościach pracy w domu. Ten rodzaj oszustwa istnieje od lat, a jego celem jest przekonanie użytkowników do płacenia za zestawy startowe lub subskrypcje usług, które rzekomo pozwoliłyby im zacząć zarabiać w Internecie, pracując z domowego komputera.

Strony internetowe o oszustwach w tej kampanii były hostowane w domenach takich jak consumeroption.net, consumerbiz.net, workforprofit.net, consumerneeds.net, consumerbailout.net i inne.

Spamerzy wykorzystali lukę w zabezpieczeniach open redirect na stronie internetowej labor.vermont.gov, aby utworzyć Adresy URL strony work.vermont.gov/LinkClick.aspx?link=[scamu]. Te adresy URL zostały następnie przekazane za pomocą Bitly w celu wygenerowania krótkich adresów URL 1.usa.gov, tworząc dwuetapowy łańcuch przekierowań.

"Korzystanie ze skracających URL lub luki w zabezpieczeniach typu open-redirect nie jest nową taktyką, fakt, że spamerzy mogą wykorzystywać usługę.gov do tworzenia własnych linków, jest niepokojący ", powiedział Park.

Statystyki publiczne dostarczane przez Bitly dla nieuczciwych adresów URL 1.usa.gov użytych w tej kampanii spamowej wykazały, że linki kliknięto 43 049 razy w okresie od 12 października do 18 października, przy znacznym wzroście liczby kliknięć 18 października.

"Czołowymi czterema krajami na co dzień były Stany Zjednoczone, Kanada, Australia i Wielka Brytania, "Park powiedział. "Łącznie najwięcej wyświetleń w Stanach Zjednoczonych stanowi 61,7 proc. Kliknięć."

Adresy URL dla Gov mogą wzbudzać większe zaufanie. Jednak użytkownicy powinni zachować ostrożność podczas otwierania linków, niezależnie od tego, gdzie wydają się wskazywać, powiedział Park.