Киберпреступники нацеливаются на покупатели Черной пятницы с помощью фишинга
Скрудж, похоже, усердно трудится перед официальным началом этого праздничного сезона. За неделю до официального начала Черной пятницы покупки этих предложений стали опасными. Киберпреступники начали фишинговую кампанию с поддельными сайтами, предназначенными для кражи информации у покупателей Черной пятницы.
Фишинговая кампания Черной пятницы
Аналитики из EclecticIQ начали замечать фишинговую кампанию еще в начале октября. Похоже, она нацелена на покупателей Черной пятницы в Соединенных Штатах и Европе. Теми же аналитиками считается, что за этим стоят китайские киберпреступники с прозвищем SilkSpecter, которые стремятся получить выгоду.
SilkSpecter использует поддельные, уцененные товары в этой фишинговой схеме, чтобы привлечь покупателей Черной пятницы и убедить их предоставить данные своей карты (CHD), конфиденциальные данные аутентификации (SAD) и личную идентифицирующую информацию (PII).
Когда покупатели вводят свои данные, злоумышленники крадут CHD через процесс оплаты Stripe. CHD отправляется на сервер, контролируемый SilkSpecter. Google Translate используется для того, чтобы сделать язык на сайтах более правдоподобным, адаптируя его под IP-адреса жертв.
Выясняется, что это не первый случай SilkSpecter в области поддельных сайтов электронной коммерции. Они организовали аналогичные фишинговые кампании. Все они были связаны с китайским SaaS, который, по мнению аналитиков, позволяет быстро создавать эти сайты. Большинство сайтов используют домены с .top, .hip, .store и .vip.
Полезно знать: также следует остерегаться текста “Вашу посылку нельзя доставить”.
Открытие схемы фишинга Черной пятницы
Аналитики заметили закономерность через поддельные домены фишинга Черной пятницы и решили, что большинство из них можно отследить назад к SilkSpecter. Киберпреступность сама по себе является гораздо большей угрозой, чем вы могли себе представить.
Каждая страница включала иконку “trusttollsvg”, что делало её похожей на обычный надежный сайт. Кроме того, эти страницы имели конечную точку “homeapi/collect”. Это уведомляло киберпреступников, когда жертва щелкала или открывала URL, на который её заманивали обещанием скидки Черной пятницы.
Различные трекеры веб-сайта срабатывали, как только кто-то попадал на фишинговую страницу, искавшую предложение Черной пятницы. Трекеры следили за эффективностью фишинговой кампании, собирая PII, CHD, и SAD данные у ничего не подозревающих покупателей, использующих Stripe. Среди собранной информации были IP-адреса, геолокация, тип браузера и ОС.
Кроме того, жертвы этой фишинговой атаки были приглашены предоставить свои номера телефонов. Предполагается, что эта информация также будет использована в корыстных целях. Номера телефонов могут быть затем использованы для голосового фишинга или SMS-фишинга, заставляя жертв раскрывать дополнительные данные, такие как коды 2FA, данные удостоверения личности и, возможно, учетные данные аккаунтов.
Считается, что SilkSpecter распространял фишинговые URL через аккаунты в социальных сетях и SEO отравление, заманивая жертв скидками Черной пятницы.
К счастью, вам не нужно становиться жертвой фишинговой атаки Черной пятницы. Не заходите на неизвестные сайты, независимо от того, насколько многообещающими выглядят предложения. Придерживайтесь Amazon и других известных сайтов. И, как всегда, вы можете следить за Make Tech Easier, так как мы будем публиковать лучшие технологические предложения Черной пятницы.
