Исследователи кибербезопасности из Akamai обнаружили новую фишинговую кампанию, нацеленную на потребителей в Соединенных Штатах с поддельными праздничными предложениями. Цель кампании — украсть конфиденциальные учетные данные, такие как данные кредитной карты, и, в конечном итоге, их деньги.
Злоумышленники создают целевые страницы, которые выдают себя за некоторые из крупнейших брендов в США, включая Dick’s, Tumi, Delta Airlines, Sam’s Club, Costco и другие.
Целевая страница, часто размещаемая в авторитетных облачных сервисах, таких как Google или Azure, предлагает пользователям заполнить короткий опрос, после чего им будет обещан приз. Опрос также будет ограничен по времени пятью минутами, с использованием срочности, чтобы отвлечь внимание людей от потенциальных красных флажков.
Уникальные фишинговые URL
После завершения опроса жертвы объявлялись «победителями». Единственное, что им теперь нужно сделать, чтобы получить свой приз, это оплатить доставку. Именно здесь они отдавали свою конфиденциальную платежную информацию, чтобы позже злоумышленники могли использовать ее по-разному.
Тем не менее, что делает эту кампанию уникальной, так это ее система на основе токенов, которая позволяет ей оставаться незамеченной и не подхватываться решениями по кибербезопасности.
Как объясняют исследователи, система помогает перенаправить каждую жертву на уникальный URL фишинговой страницы. URL-адреса различаются в зависимости от местоположения жертвы, поскольку мошенники пытаются выдать себя за местные бренды.
Объясняя, как работает система, исследователи сказали, что каждое фишинговое письмо содержит ссылку на целевую страницу с привязкой (#). Обычно так посетители переходят к определенным частям целевой страницы. В этом сценарии тег представляет собой токен, используемый JavaSCript на целевой странице, который восстанавливает URL-адрес.
«Значения, находящиеся после привязки HTML, не будут считаться параметрами HTTP и не будут отправлены на сервер, однако это значение будет доступно коду JavaScript, запущенному в браузере жертвы», — заявили исследователи. «В контексте фишинга значение, помещенное после привязки HTML, может быть проигнорировано или пропущено при сканировании продуктами безопасности, которые проверяют, является ли оно вредоносным или нет».
«Это значение также будет пропущено при просмотре инструментом проверки трафика».
Решения по кибербезопасности игнорируют этот токен, помогая злоумышленникам оставаться в тени. С другой стороны, исследователи, аналитики и другие нежелательные посетители держатся подальше, так как без соответствующего токена сайт не будет загружаться.
С помощью: Пищит Компьютер (откроется в новой вкладке)
