Analitycy Akamai zajmujący się cyberbezpieczeństwem wykryli nową kampanię phishingową skierowaną do konsumentów w Stanach Zjednoczonych z fałszywymi ofertami wakacyjnymi. Celem kampanii jest kradzież poufnych danych uwierzytelniających, takich jak dane karty kredytowej, a ostatecznie pieniędzy.
Aktorzy tworzący zagrożenie tworzą strony docelowe, które udają jedne z największych marek w Stanach Zjednoczonych, w tym Dick's, Tumi, Delta Airlines, Sam's Club, Costco i inne.
Strona docelowa, często hostowana przez renomowane usługi w chmurze, takie jak Google lub Azure, prosi użytkowników o wypełnienie krótkiej ankiety, po której obiecuje im nagrodę. Dochodzenie miałoby również pięciominutowy limit czasu, wykorzystując pilność, aby odwrócić uwagę ludzi od potencjalnych czerwonych flag.
unikalne adresy phishingowe
Po wypełnieniu ankiety ofiary zostaną ogłoszone „zwycięzcami”. Jedyne, co musieliby teraz zrobić, aby otrzymać nagrodę, to opłacić koszty przesyłki. W tym miejscu podawaliby swoje poufne informacje dotyczące płatności, aby atakujący mogli je wykorzystać na różne sposoby.
Jednak tym, co czyni tę kampanię wyjątkową, jest system oparty na tokenach, który pozwala jej pozostać niewykrytym i niewykrytym przez rozwiązania cyberbezpieczeństwa.
Jak wyjaśniają badacze, system umożliwia przekierowanie każdej ofiary na unikalny adres URL strony phishingowej. Adresy URL różnią się w zależności od lokalizacji ofiary, ponieważ oszuści próbują podszywać się pod marki dostępne lokalnie.
Wyjaśniając, jak działa system, badacze powiedzieli, że każdy e-mail phishingowy zawiera link do strony docelowej wraz z kotwicą (#). Zazwyczaj w ten sposób odwiedzający są kierowani do określonych części strony docelowej. W tym scenariuszu tag jest tokenem używanym przez JavaSCript na stronie docelowej, który rekonstruuje adres URL.
„Wartości po kotwicy HTML nie będą uważane za parametry HTTP i nie zostaną wysłane na serwer, ale ta wartość będzie dostępna dla kodu JavaScript uruchomionego w przeglądarce ofiary” – stwierdzili badacze. „W kontekście oszustwa phishingowego wartość umieszczona po kotwicy HTML może zostać zignorowana lub przeoczona podczas analizowania przez produkty zabezpieczające w celu sprawdzenia, czy jest złośliwa”.
„Ta wartość zostanie również utracona, jeśli zostanie wyświetlona za pomocą narzędzia do inspekcji ruchu”.
Rozwiązania z zakresu cyberbezpieczeństwa ignorują ten token, co pomaga cyberprzestępcom zachować dyskrecję. Z drugiej strony badacze, analitycy i inni niechciani goście trzymają się z daleka, ponieważ bez odpowiedniego tokena strona się nie załaduje.
Przez: BleepingComputer (Otwiera się w nowej karcie)
