Комплект фишинговых писем, нацеленный на североамериканцев в праздничный сезон!

Исследователи компании Akamai обнаружили продвинутый фишинговый комплект, который нацеливается на клиентов Северной Америки в праздничный сезон, заманивая их праздничными предложениями.

Согласно аналитикам Akamai, атаки продолжаются с середины сентября, сосредоточены на Хэллоуине и Дне труда и продолжаются на протяжении всего октября.

Кроме того, фишинговый комплект использует подход обхода и применяет системы, чтобы избежать нецелевых пользователей на своих фишинговых страницах.

Что еще более интересно, так это то, что комплект использует систему на основе токенов, которая гарантирует, что каждая цель перенаправляется на новый URL фишинговой страницы. Вдобавок к этому, основная идея этих фишинговых писем для потенциальных жертв заключается в возможности выиграть приз от надежного бренда.

Ссылки в фишинговом письме не подают никаких предупреждающих знаков, так как они ведут на фишинговые сайты через несколько перенаправлений, и в то же время, сокращатели URL скрывают большинство URL.

Более того, злоумышленники используют облачные сервисы, такие как Google, AWS от Amazon и Azure от Microsoft, и используют их имена для обхода систем защиты.

Кроме того, каждый, кто посещает фишинговый сайт, выигрывает обещанную награду после завершения короткого опроса, а также пяти минут таймера, который создает ощущение срочности у тех, кто проходит короткий опрос.

Читать: Вредоносное ПО Mirai RapperBot атакует онлайн-игровые серверы с помощью DDoS

Некоторые из брендов, которые имитируют злоумышленники, включают авиакомпанию Delta, спортивную компанию Dick’s, Tumi (производитель багажа) и оптовые клубы Costo и Sam’s club. Чтобы сделать фишинговую атаку более успешной, злоумышленники использовали поддельные отзывы людей, демонстрирующие полученные призы.

Чтобы сделать фишинговую атаку более успешной, злоумышленники использовали поддельные отзывы людей, демонстрирующие полученные призы.

После выигрыша приза жертвам затем просят оплатить доставку, и для этого им необходимо ввести данные своей карты; естественно, никаких призов не будет отправлено, а данные платежной карты будут украдены злоумышленниками.

Согласно данным компании Akamai, примерно 89% пользователей, посещающих эти фишинговые домены, находятся из Соединенных Штатов и Канады. Также, в зависимости от местоположения пользователя, фишинговый домен перенаправляет их на другой фишинговый сайт, который имитирует местный доступный там бренд.

Каждое из фишинговых писем содержит различную ссылку на целевую страницу с якорем; для тех, кто не знает, якорь — это ссылка, которая перенаправляет пользователя на конкретную часть связанной страницы. Однако в этой фишинговой атаке тег якоря представляет собой токен, который используется JavaScript на фишинговой целевой странице для восстановления URL, на который будет перенаправлена цель.

Читать: Хактивисты Russia with Love атакуют украинские организации с помощью программ-вымогателей Somnia

Akamai упоминает, что значения после HTML-якоря не будут считаться HTTP-параметрами и не будут отправлены на серверы, однако это значение все еще доступно JavaScript-коду, работающему в браузере жертвы.

Что касается ситуации с фишинговым мошенничеством, значения, помещенные после HTML-якоря, могут быть проигнорированы или пропущены системами безопасности, которые проверяют, являются ли они вредоносными или нет. Аналогично, значение также будет пропущено инструментом инспекции трафика.

Инструменты инспекции и системы безопасности пропускают этот токен, поэтому это не создает никаких рисков для злоумышленника; вместо этого это помогает держать исследователей, аналитиков, нежелательный трафик и случайных людей подальше от фишинговой целевой страницы.

Таким образом, помимо исключения нецелевых пользователей, токены могут использоваться для отслеживания жертв, производительности атак и т.д.

Поэтому использование всех известных методов и избегание обнаружения делает это мощной угрозой для североамериканцев и канадцев!

Читать: Qualcomm анонсирует флагманский SoC Snapdragon 8 Gen 2