По данным KrebsOnSecurity, мошенники подделали сайт сервиса Privnote, который используется для отправки конфиденциальной информации. В сообщениях злоумышленники подставляют свои адреса Биткоина.

На легитимном портале Privnote сообщения зашифровываются и после прочтения автоматически удаляются. При создании сообщения создается специальная ссылка, и сервис уведомляет пользователей, что после нажатия на эту ссылку сообщение будет удалено навсегда. 

В сфальсифицированной версии «Privnotes» сообщения не зашифровываются, поэтому злоумышленники могут читать и изменять их. Для этого они используют специальный скрипт, который находит сообщения с адресами Биткоина и автоматически подставляет вместо них адреса мошенников. 

Подмена адреса происходит только в том случае, если IP-адреса отправителя и получателя отличаются. Сообщения удаляются после прочтения таким же образом, как на оригинальном сервисе, поэтому при обнаружении проблемы жертва не сможет проверить, какой адрес Биткоина был указан в сообщении.

Эксперты KrebsOnSecurity выявили, что скрипт может видоизменять адреса, оставляя нетронутыми первые несколько символов, чтобы пользователь ничего не заподозрил. Однако при отправке повторных сообщений с указанием одного и того же адреса Биткоина программа прекращает подставлять вместо него другие адреса. 

На мошенническом сайте крадутся и другие конфиденциальные данные пользователей, в том числе пароли. Ошибку в названии сервиса заметить довольно сложно – при введении запроса «Privnote» в Google, поддельный сайт показывается в верхних строчках поисковика, а в описании к нему указано верное название. 

Однако не все обращают внимание, что в названии мошеннического сайта в конце слова присутствует буква «s». Поэтому эксперты по кибербезопасности рекомендуют проявить особую бдительность при совершении платежей и отправке важных данных, а также тщательно проверять официальные названия сервисов.

Напомним, что прошлой весной в сети появился поддельный сайт криптовалютного кошелька Wasabi Wallet. Кроме того, ранее YouTube по ошибке запустил рекламу кошелька Electrum со ссылкой на фальшивый сайт – в самом видео был указан адрес легитимного сервиса, но при нажатии на ссылку пользователей перебрасывало на фальшивый сайт.