Эксперты Google совместно с коллегами из Калифорнийского университета в Беркли представили на конференции по безопасности ACM CCS 2017 результаты исследования, согласно которым наиболее распространенная причина утечек данных пользователей – фишинг.

Авторы исследования Data breaches, phishing, or malware? Understanding the risks of stolen credentials изучили массив данных, куда вошли 788 тыс. учетных записей и паролей, украденных с помощью кейлоггеров; 12,4 млн учетных данных, полученных методами фишинга; 1,9 млрд учетных данных, которые были скомпрометированы в результате утечек и продавались в «темном» вебе с марта 2016 года по март 2017 года.

Исследователи выделили в базе данных пользователей, которые применяли для авторизации в скомпрометированных учетных записях и Google-аккаунтах одинаковые пароли. Таким образом, оба аккаунта оказывались под угрозой взлома. Среди жертв фишинга эксперты обнаружили 25% совпадений, тогда как среди жертв кейлоггеров – 12%, а среди пострадавших от утечек данных – 7%.

«Фишинг представляет наибольшую угрозу для пользователей. Далее следуют кейлоггеры и утечки данных. Вероятность удачного взлома учетной записи жертвы фишинга в 400 раз выше, чем учетной записи случайного пользователя Google. Данный показатель в 10 раз выше у жертв утечек данных и примерно в 40 раз – у жертв кейлоггеров», – отмечают авторы исследования.

Авторы исследования также обратили внимание, что от 12% до 25% паролей, найденных в «темном» интернете, все еще применяются. Разработчики Google использовали результаты исследования, чтобы сбросить пароли в скомпрометированных учетных записях и усовершенствовать систему авторизации. Эксперты интернет-гиганта надеются также, что распространение информации об опасности фишинга поможет обезопасить учетные данные на других сервисах.

Фишинг остается наиболее востребованным инструментом злоумышленников и постоянно трансформируется. Команда PhishMe обратила внимание на новую технику фишинговых атак – селфи с документами. Нестандартная фишинговая кампания была нацелена на пользователей PayPal. Авторы атаки вели жертв на фальшивый сайт платежной системы и просили пройти процедуру многоступенчатой «верификации аккаунта»: предоставить адрес, реквизиты банковской карты и фотографии с удостоверением личности в руках.

Другой способ выудить данные учетных записей обнаружили аналитики PhishLabs. Злоумышленники воспользовались особенностью отображения URL-адресов в мобильных устройствах, где из-за небольших экранов ссылка в адресной строке браузера отображается не полностью. Суть фишингового метода в том, чтобы добавить к легитимному адресу множество дефисов, например, m.facebook.com-------------validate-----step1.rickytaylk[dot]com/sign_in.html. Эксперты нашли URL-адреса с дефисами, замаскированные под адреса Facebook, iCloud, Comcast, Craigslist и OfferUp. Мошенники использовали украденные таким способом данные в основном для рассылки фишингового спама по списку контактов жертвы, распространяя атаку далее.