Этот фишинговый набор наказывает ничего не подозревающих покупателей в эту Черную пятницу

Этот фишинговый набор наказывает ничего не подозревающих покупателей в эту Черную пятницу

19 ноября 2022 г.

Исследователи кибербезопасности из Akamai обнаружили новую фишинговую кампанию, нацелена на потребителей в Соединенных Штатах с поддельными праздничными предложениями. Цель кампании — украсть конфиденциальные идентификационные данные, такие как данные кредитной карты и, в конечном итоге, их деньги. .

Субъекты угрозы создают целевые страницы, которые выдают себя за некоторые из крупнейших брендов в США, включая Dick's, Tumi, Delta Airlines, Sam's Club, Costco и другие.

The целевая страница, часто размещаемая в авторитетных облачных сервисах, таких как Google или Azure, предлагает пользователям заполнить короткий опрос, после чего им будет обещан приз. Опрос также будет ограничен по времени пятью минутами, чтобы отвлечь внимание людей от потенциальных красных флажков.

Уникальные фишинговые URL

После завершения опроса жертвы объявлялись «победителями». Единственное, что им теперь нужно сделать, чтобы получить свой приз, — это оплатить доставку. Именно здесь они отдавали свою конфиденциальную платежную информацию, чтобы позже злоумышленники использовали ее по-разному.

Тем не менее, что делает эту кампанию уникальной, так это ее система на основе токенов, которая позволяет ей оставаться незамеченной и не подхватываться решениями по кибербезопасности.

Как объясняют исследователи, система помогает перенаправить каждую жертву на уникальный URL фишинговой страницы. URL-адреса различаются в зависимости от местоположения жертвы, поскольку мошенники пытаются выдать себя за местные бренды.

Объясняя, как работает система, исследователи сказали, что каждое фишинговое письмо содержит ссылку на целевую страницу с привязкой (#). Обычно так посетители переходят к определенным частям целевой страницы. В этом сценарии тег представляет собой токен, используемый JavaSCript на целевой странице, который восстанавливает URL-адрес.

"Значения после привязки HTML не будут считаться параметрами HTTP и не будут отправлены на сервер, однако это значение будет доступно коду JavaScript, работающему в браузере жертвы", исследователи сказали. "В контексте мошенничества с фишингом значение, помещенное после привязки HTML, может быть проигнорировано или пропущено при сканировании продуктами безопасности, которые проверяют, является ли оно вредоносным или нет".

"Это значение также будет пропущен при просмотре инструментом проверки трафика."

Решения по кибербезопасности пропускают этот токен, помогая злоумышленникам оставаться в тени. С другой стороны, исследователи, аналитики и другие нежелательные посетители держатся подальше, так как без надлежащего токена сайт не загрузится.

PREVIOUS ARTICLE
NEXT ARTICLE