Тече глобална фишинг-кампания, предназначена да краде данни от кредитни карти и лични данни чрез фалшиви анкети, които носят оферти за награди. Операцията използва стотици новорегистрирани домейни, за да избегне филтрите за сигурност на имейлите.
Кампанията имитира известни марки в търговията на дребно, логистиката, пътуванията, финансовите услуги и здравеопазването. Имейлите ѝ обещават тлъсти подаръци: скъпи артикули като смартфони, смарт-часовници и слушалки в замяна на попълване на клиентска анкета.
Вместо да изискват предварително данни за акаунта, нападателите водят получателите през няколко стъпки, а накрая искат малко плащане за доставка, което всъщност върши работата – събира данни за кредитни карти и платежни средства.
Кибератаката е насочена както към организации, така и към индивидуални потребители по целия свят. Имейлите могат да заобиколят защитните шлюзове, като разчитат на бърза ротация на домейни – за целта нападателите регистрират голям брой евтини домейни всеки ден и ги изоставят в рамките на 48 часа.
Ловко социално инженерство
Новият подход използва по-дълга фуния за измама от повечето фишинг-кампании. Потребителите първо виждат 10 до 15 въпроса от анкетата. Питанията изглеждат легитимни, задълбочени. Създават впечатлението, че става дума за сериозно проучване.
После на “анкетираните” се съобщава, че са спечелили награда. След това им се показват фалшиви секции за коментари, предназначени да наподобяват публикации в социалните медии от други предполагаеми победители.
Последната стъпка е искане за скромна такса за доставка, обикновено 5-10 щатски долара. След като жертвата въведе данни за банковата си карта и лична информация на страницата за плащане, данните се изпращат до инфраструктура, контролирана от нападателите.
Кампанията циклично променя идентичността на марките, за да подобри шансовете си за успех. Нападателите използват почти идентични копия на официални целеви страници и редуват имена, познати на големи групи потребители, независимо къде пазаруват или какви услуги използват.
Краткотрайни домейни
Централна характеристика на кампанията е това, което изследователите описват като стратегия за изхвърляне и изгаряне на домейни. Чрез използване на новорегистрирани домейни с много кратък живот, нападателите могат да изпреварят списъците с блокирани домейни, които ограничават злонамерените уеб-адреси.
За целта се разчита на интензивно използване на евтини домейни от първо ниво. В комбинация с висококачествен дизайн на страниците и тактики за социално инженерство, като например таймери за обратно броене и твърдения за ограничени наличности, тази инфраструктура помага на кампанията да изглежда убедителна, като същевременно остава трудна за бързо разрушаване.
Техниките, идентифицирани от KnowBe4 – автор на проучването – съответстват на установени методи за фишинг и придобиване на инфраструктура в рамката MITRE ATT&CK. Изследователите отбелязват дейности като придобиване на домейни за хостване на фишинг-комплекти, голям обем линкове, изпратени по имейл, и кражба на информация чрез поетапни формуляри, които събират лични и финансови данни.
„Потребителско преживяване”
Констатациите подчертават по-цялостна промяна във фишинг дейностите: налице е преход от стратегията на директна кражба на пароли към по-сложни примамки, в стил „потребителско преживяване“, както биха казали маркетолозите – техника за изграждане на доверие с течение на времето.
Вместо да разчитат на едно-единствено подвеждащо подканване, нападателите използват повтарящи се взаимодействия, за да направят окончателното искане за плащане да изглежда правдоподобно.
Тази структура разширява кръга от потенциални жертви. Потребителите, които биха игнорирали директно искане за данни за вход, може да са по-склонни да попълнят анкета на разпознаваема марка и да платят малка такса, за да получат наградата си.
Изследователите съветват потребителите да се отнасят с подозрение към всяко искане за данни за плащане, свързано с безплатна награда, особено когато офертата пристига в непоискана електронна поща. Организациите пък следва да обучават персонала си да разпознава подобни модели на социално инженерство.
