Новый фишинговый сайт, который олицетворяет собой установленную службу онлайн сообщений, охотится на пользователей цифровой валюты. Он может читать сообщения пользователей и в тех случаях, когда в сообщении указан адрес цифровой валюты, он заменяет его на принадлежащий мошенникам.
Сайт privnotes.com является клоном легальной службы обмена сообщениями privnote.com. Последний позволяет своим пользователям отправлять зашифрованные сообщения через интернет, которые самоуничтожаются после прочтения.
Privnotes.com работает уже более года, сообщил в своем блоге журналист по кибербезопасности Брайан Кербс. Поскольку URL-адреса довольно схожи, многие пользователи вряд ли смогут заметить разницу и в итоге используют мошеннический сайт. Например, при поиске в Google мошеннический сайт становится вторым при поиске «privnote». Кроме того, у мошенников есть платная реклама, которая появляется в верхней части результатов поиска Google.
Настоящий сайт шифрует все сообщения пользователей таким образом, что даже сайт не может получить к ним доступ. Тем не менее, аферный сайт не шифрует сообщения и может читать и изменять их.
Мошенники сосредоточились на пользователях, которые отправляют адреса в цифровой валюте через свою платформу. При этом используется автоматический скрипт, который просматривает сообщения для адресов.
В сообщении блога говорится: «Любые сообщения, содержащие адреса биткоинов, будут автоматически изменены». Сценарий изменяет адрес цифровой валюты только один раз, если он повторяется в сообщении несколько раз.
Саморазрушающая природа сообщений, отправляемых через сервис, делает его идеальным преступлением. Эллисон Никсон, исследователь кибербезопасности в подразделении 221B сказал: «Из-за дизайна сайта отправитель не сможет просматривать сообщение, потому что он самоуничтожается после одного открытия. Это довольно умная афера».
Никсон считает, что мошенники также собирают в сообщениях другие данные, которые они затем могут использовать для вымогательства пользователей.
