Napadači iskorištavaju ranjivosti u funkcijama pretraživanja na popularnim web stranicama poput Netflixa, Microsofta i Bank of America, ubacujući lažne brojeve telefona. Ovaj sofisticirani napad, klasifikovan kao “search parameter injection attack”, omogućava prevarantima da na legitimnim stranicama prikažu informacije koje kontrolišu, što korisnicima otežava prepoznavanje prevare.
Malwarebytes izvještava da cijela operacija počinje kupovinom sponzorisanih oglasa na Googleu. Ovi oglasi, koji se predstavljaju kao legitimne marke, vode korisnike na naizgled zvanične stranice podrške. Međutim, linkovi sadrže zlonamjerne URL parametre koji eksploatišu nedostatke u načinu na koji ciljane web stranice obrađuju unesene podatke u poljima za pretraživanje.
Kada žrtve kliknu na ove kompromitovane linkove, bivaju preusmjerene na stvarne web stranice poznatih kompanija kao što su Netflix, Microsoft, Bank of America, PayPal, Apple, Facebook i HP. Ključna razlika je u tome što su URL-ovi prepravljeni pomoću kodiranih znakova, poput %20 za razmake i %2B za znak plus, zajedno sa brojevima telefona prevaranata. Ovi parametri služe da bi se rezultati pretraživanja na stranici promijenili i prikazali kontakt informacije prevaranata umjesto zvaničnih brojeva za podršku.
Konkretno, napad na Netflix pokazuje kako se lažni brojevi telefona ubacuju direktno u prikaz rezultata pretraživanja, stvarajući iluziju da je to zvanični kontakt broj te kompanije. Ova tehnika manipulacije URL-ovima zaobilazi standardne sigurnosne mjere jer korisnik cijelo vrijeme ostaje na autentičnoj web stranici.
Uspješnost ovih napada leži u tome što mnoge web stranice ne vrše adekvatnu provjeru unesenih parametara pretraživanja. Kada korisnici unesu neki pojam za pretragu, stranica često samo prikaže unesene podatke bez odgovarajuće validacije, što stvara ranjivost koju prevaranti mogu iskoristiti za ubacivanje zlonamjernog sadržaja. Kodirani znakovi u URL-ovima služe dvostrukoj svrsi: pomažu u zaobilaženju osnovnih sigurnosnih filtera, a istovremeno osiguravaju da se lažni brojevi telefona pravilno prikažu na ciljanim web stranicama. Na primjer, %20 omogućava ispravno prikazivanje razmaka u telefonskim brojevima, dok %2B osigurava da se znak plus prikaže pravilno u formatima međunarodnih brojeva.
Korisnicima se savjetuje da obrate pažnju na potencijalne znakove upozorenja, kao što su telefonski brojevi koji se pojavljuju u samim URL-ovima, sumnjivi pojmovi za pretraživanje poput “Pozovi odmah” ili “Hitna podrška” u adresnoj traci pregledača, te prekomjerno kodirani znakovi uz telefonske brojeve. Prije pozivanja bilo kojeg broja pronađenog putem rezultata pretraživanja, korisnici bi trebali provjeriti te kontakt informacije putem zvaničnih kanala komunikacije kompanije ili njenih naloga na društvenim mrežama kako bi se uvjerili u njihovu autentičnost i izbjegli da postanu žrtve ovih vještih prevara.
