Nowa kampania phishingowa krąży w Internecie podszywając się pod Departament Pracy USA (DoL).
Odkryta przez firmę Inky zajmującą się bezpieczeństwem poczty e-mail, większość prób phishingu wykorzystanych w kampanii polegała na fałszowaniu adresów e-mail nadawców, tak aby wyglądały, jakby pochodziły z [email chroniony]
Chociaż jest to rzeczywisty adres e-mail DoL, niewielki podzbiór adresów e-mail został sfałszowany tak, aby zamiast tego wyglądały na pochodzące z adresu no-reply@dolcom, chociaż napastnicy korzystali również z innych podobnych nowo utworzonych domen, takich jak dol -govcom, dol govnosotros i oferuje- dolgovnosotros.
Każdy z e-maili phishingowych wysłanych w ramach kampanii zapraszał odbiorców do składania ofert na „bieżące projekty rządowe” i rzekomo pochodził od wyższego urzędnika DoL odpowiedzialnego za zamówienia. Te e-maile zawierały również trzystronicowy załącznik PDF z dobrze zaprojektowanymi elementami brandingowymi DoL, aby uczynić je bardziej uzasadnionymi.
Złożyć ofertę
Odbiorcy zainteresowani udziałem w projektach rządowych reklamowanych w tej kampanii phishingowej zostali skierowani do kliknięcia przycisku „BID” na drugiej stronie załączonego pliku PDF w celu uzyskania dostępu do portalu zamówień DoL. To jednak doprowadziło ich do złośliwej domeny podszywającej się pod DoL.
Po dotarciu do szkodliwej domeny odbiorcy otrzymują zestaw fałszywych instrukcji dotyczących działania procesu licytacji DoL. Jednak osoby atakujące stojące za tą kampanią są dość sprytne, ponieważ zamknięcie instrukcji prowadzi użytkownika do identycznej kopii prawdziwej witryny DoL, ponieważ HTML i CSS prawdziwej witryny zostały skopiowane i wklejone do witryny phishingowej.
Ci, którzy kliknęli czerwony przycisk „Kliknij tutaj, aby licytować”, otrzymali formularz odbioru danych uwierzytelniających z instrukcjami logowania i licytowania za pomocą programu Microsoft Outlook lub innej profesjonalnej usługi poczty elektronicznej. Kiedy jeden z inżynierów Inky próbował wprowadzić fałszywe dane uwierzytelniające, strona wyświetliła błąd nieprawidłowych fałszywych danych uwierzytelniających, podczas gdy w rzeczywistości atakujący już zebrali te fałszywe dane uwierzytelniające. Jednak za drugim razem inżynier został przekierowany na rzeczywistą stronę DoL, aby dodać autentyczności kampanii.
Aby uniknąć padnięcia ofiarą tej i podobnych kampanii, Inky zauważa, że oficjalne domeny rządowe Stanów Zjednoczonych zwykle kończą się na .gov lub .mil, w przeciwieństwie do .com lub innych domen najwyższego poziomu.
Oferujemy również najlepsze oprogramowanie do ochrony punktów końcowych, najlepszą ochronę przed kradzieżą tożsamości i najlepszą zaporę sieciową.