Обновена на 30.05.2023 от Questo
Някой домейн разширения като ZIP и MOV могат да бъдат използвани за създаването на автентично изглеждащи фишинг страници. Това теоретизира Mr. D0x – един от популярните изследователи на тема фишинг.
Той показва как с малко HTML и CSS може да се създаде сайт, който изглежда като прозорец на софтуер за архивиране. Докато потребителят си мисли, че разархивира файл с WinRAR, той всъщност отваря потенциално опасен код.
Mr. D0x е публикувал и примерен код в Github, който всеки желаещ може да използва, за да се убеди, че тази фишинг техника работи.
От предоставеният скрийншот се вижда, че отвореният браузър много наподобява прозорец на WinRAR. Авторът на кода коментира, че бутонът Extract to може да се използва като тригер за инсталиране на зловреден код.
Mr. D0x е автор и на други подобни разработки като например Browser in the browser, при която потребителят си мисли, че е отворил в браузъра си логин форма, но всъщност това е добре скрита фишинг страница.
Ефективност на атаката
Аргументите на автора са, че е по вероятно потребител да кликне и отвори http://niakakavsait.zip (ако очаква да види архивиран файл) или http://niakakvsait.mov (ако очаква да види видео файл), отколкото http://ncdwfhdskjndsf.com/asuifduasid/zip.
Тези аргументи не са без основание, но основният фактор като че ли остава мотивацията да се клика наляо и надясно, т.е. колко информиран е потребителят за опасностите от фишинга.
Една умело направена фишинг кампания може да бъде скрита зад линк, който изглежда напълно легитимно. В такъв случай дори не са необходими козметични корекции, които да убеждават потребителя, че е отворил сайта, който търси.
Добрата практика за потребителите изисква да не отварят линкове от непознати източници, да проверяват накъде водят линковете, преди да ги отварят, и да проверяват с антивирусен софтуер съдържанието на файловете, които са свалили, преди да ги отворят.