Интересный фишинг: киберпреступники используют HTTP-заголовки для кражи данных

Киберпреступники внедрили новую тактику фишинговых атак, используя HTTP-заголовки для обмана пользователей. Специалисты из Unit 42, подразделения компании Palo Alto Networks, сообщили о серии атак, где применяется метод с использованием HTTP-заголовков «refresh». Этот приём позволяет злоумышленникам перенаправлять жертв на поддельные страницы, собирая их учётные данные без явного взаимодействия с пользователем.

Мошенники встраивают вредоносные ссылки в заголовок ответа HTTP, который заставляет браузер жертвы обновлять и перенаправлять на поддельные веб-страницы. При этом контент HTML загружается уже после того, как заголовок выполнил свою задачу, что делает атаку более сложной для обнаружения. Это позволяет преступникам собирать данные пользователей через поддельные формы входа, маскируя вредоносные страницы под легитимные домены или скомпрометированные ресурсы.

Согласно отчёту, 36% таких атак были направлены на организации экономического сектора, 12,9% — на финансовые услуги, 6,9% — на государственные учреждения, а 5,7% — на сферу здравоохранения. Злоумышленники, как правило, отправляют вредоносные ссылки через фальшивые электронные письма, замаскированные под известные компании или организации.

Эксперты рекомендуют пользователям и компаниям усиливать меры безопасности, уделяя внимание не только содержимому сообщений, но и техническим аспектам, таким как заголовки HTTP. Регулярные обновления систем безопасности и обучение сотрудников основам цифровой гигиены — важные шаги для предотвращения успешных атак.