Xakep #238. Забытый Android

• Содержание выпуска


• Подписка на «Хакер»

Специалисты компании Agari предупреждают, что мошенники по-прежнему злоупотребляют легитимной функциональностью Gmail, приравнивающей адреса с точками друг к другу. С помощью этой схемы преступники получают пособия по безработице, занимаются махинациями с налогами и обходят пробные периоды онлайновых сервисов.

Проблема заключается в том, что Gmail по-прежнему игнорирует точки в адресах, то есть почтовый сервис считает, что johnsmith@gmail.com, john.smith@gmail.com или jo.hn.sm.ith@gmail.com – это один и тот же ящик. И мошенники давно поняли, что эту особенность сервиса можно использовать не так, как было задумано. К примеру, один из недавних примеров – вредоносная кампания, направленная против пользователей Netflix. Скамеры обманом вынуждали жертв привязывать банковские карты к своим аккаунтам, по сути, зарегистрированным на адреса этих пользователей, только с использованием точек.

Дело в том, что большинство сайтов, включая государственные порталы, Netflix, Amazon, eBay и так далее, считают адреса с точками разными, то есть в их понимании johnsmith@gmail.com и  john.smith@gmail.com, это не одно и то же. И именно здесь начинаются проблемы.

По данным Agari, в прошлом году мошенники эксплуатировали проблему адресов с точками даже активнее, чем до этого. Специалисты пишут, что отслеживают активность нескольких хакерских групп, практикующих такой подход. К примеру, только одна хак-группа использовала 56 вариантов одного и того же адреса Gmail для следующих операций:

• подача 48 заявлений на выдачу кредитной карты в четыре американских банках (в результате преступники нелегально получили около 65 000 долларов в кредит);


• регистрация 14 пробных аккаунтов в сервисах коммерческих продаж (с целью сбора данных для дальнейших BEC-атак);


• подача 13 фальшивых налоговых деклараций через онлайновые сервисы;


• заполнение 12 заявок на смену адреса в Почтовой службе США;


• подача 11 фальшивых заявлений на получение социальных пособий;


• подача заявок на получение пособий по безработице в разных штатах от лица 9 разных «личностей»;


• подача заявок на получение помощи, оказываемой населению при стихийных бедствиях, от лица трех разных «личностей».

Исследователи отмечают, что такой подход позволяет преступникам привязывать различную нелегальную активность к одному адресу Gmail, что «повышает эффективность их операций»

Стоит сказать, что точки в адресах – не единственная функция Gmail, которая может представлять опасность для пользователей. Дело в том, что почтовый сервис похожим образом относится и к знаку «+»: адрес вида username+случайноеслово@gmail.com будет приравнен к username@gmail.com. Кроме того, по-прежнему работает легаси-домен @googlemail.com, то есть все письма, направленные на адрес username@googlemail.com, придут на username@gmail.com. К счастью, пока мошенники не используют эти возможности Gmail для скама и фрода, однако ИБ-эксперты отмечают, что эти особенности сервиса могли бы еще расширить арсенал преступников и создать не меньше проблем, чем адреса с точками.

Теги: CSS, адреса Gmail мошенники разных заявок