Редирект на фишинговую страницу с адресом /sberbank/

Ежедневно сканер ReScan.pro фиксирует несколько взломанных сайтов, которые выполняют редирект на мошенническую страницу, собирающую данные банковских карт под предлогом проведения розыгрыша призов (Акция «Встречаем лето с подарками»). Мошенническая страница в своем адресе содержит фрагмент /sberbank/. Обнаруженные вредоносные инжекты на зараженном сайте маркируются идентификаторами вирусных сигнатур CMW-JS-90149-mlw, CMW-JS-90218-js.redirect.inj, blacklisted.

rescan

priz0

В данной фишинговой схеме присутствуют два взломанных сайта.

Первый является источником трафика, перенаправляя посетителей на фишинговую страницу. В коде этого сайта присутствует подключение скрипта с домена сокращения ссылок http://goo.gl, который физически загружает на сайте код редиректа со взломанного донорского сайта и при определенных условиях выполняет клиентский javascript редирект на зараженный сайт.

Charles_3_11_-_Session_1

Редирект на фишинговый сайт происходит не для всех посетителей, а только для тех, кто пришел с поисковой системы, рекламной сети или сайта СМИ.

Второй сайт является непосредственно хостингом для фишинговой страницы. На него загружен скрипт, который отображает мошенническую страницу лотереи с полями для сбора номера карточного счета и срока действия (часто этих данных достаточно для того, чтобы выполнить платеж).

priz1

Оба сайта являются легитимными (обычно, это сайты небольших компаний, работающие на CMS WordPress и Joomla).

В данный момент ни Яндекс, ни Google не детектируют сайты, которые участвую в данной фишинговой кампании как вредоносные.

Если вы – вебмастер, и ваш сайт оказался взломан и заражен данным редиректом или размещает фишинговую страницу, маскимально быстро проверьте файлы сайта сканером AI-BOLIT, и удалите вредоносный скрипт и хакерские веб-шеллы, чтобы она не появилась повторно. Для диагностики страниц сайта используйте веб-сканер ReScan.pro. Если у вас возникнут вопросы с лечением сайта от данного вида заражения или защитой сайта от взлома, обратитесь к специалистам компании “Ревизиум”.

Если вы – посетитель сайта и вам предлагают заполнить данные банковской карты для розыгрыша в лотерее или для отправки какого-то приза, ни в коем случае не ведитесь на уловки мошенников.