Новая крупномасштабная фишинговая кампания использует Microsoft Azure и Google Sites для кражи криптовал

Целями злоумышленников стали пользователей Coinbase, MetaMask, Kraken и Gemini.

Фишинговые страницы, размещенные на сервисах Microsoft Azure и Google Sites рекламируются через комментарии, которые размещаются на легитимных сайтах сетью из ботов, которую контролируют злоумышленники. Такая тактика позволяет увеличить трафик, повысить рейтинг фейкового сайта в поисковых системах и обойти системы автомодерации.

Комментарий со ссылками на фишинговые страницы

Новая кампания была замечена аналитиками компании Netskope , которые отметили, что эта тактика позволила некоторым мошенническим сайтам появиться в качестве первого результата в поиске Google .

Что еще хуже, как показано ниже, Google также включил фишинговые страницы в Выделенные описания, обеспечив им максимальную видимость в результатах поиска.

Фишинговый сайт в виде первого ответа на поисковый запрос

В компании, замеченной Netskope, мошенники создавали сайты, имитирующие Metamask , Coinbase , Gemini и Kraken , чтобы обмануть жертв и получить данные их криптокошельков. Страницы, созданные на Azure и Google Sites – лендинги, которые перенаправляют жертв на настоящие фишинговые страницы после нажатия кнопки “вход”.

Фейковый лендинг криптокошелька Kraken

На фишинговых страницах злоумышленники пытаются украсть учетные данные или seed-фразы жертвы. Вся схема выглядит так:

На всех фишинговых сайтах пользователи вводят свои учетные данные, после чего перенаправляются на фальшивую страницу, которая просить указать жертву свой номер телефона и ввести код из СМС;
Как только пользователь вводит код, сайт выдает фальшивую ошибку о несанкционированной активности и проблемах с авторизацией, заставляя жертву нажать на кнопку "Обратиться к эксперту";
После этого жертва попадает на страницу с онлайн-чатом, где мошенник, выдающий себя за работника технической поддержки, заставляет жертву установить TeamViewer.

На всех фишинговых сайтах пользователи вводят свои учетные данные, после чего перенаправляются на фальшивую страницу, которая просить указать жертву свой номер телефона и ввести код из СМС;

Как только пользователь вводит код, сайт выдает фальшивую ошибку о несанкционированной активности и проблемах с авторизацией, заставляя жертву нажать на кнопку "Обратиться к эксперту";

После этого жертва попадает на страницу с онлайн-чатом, где мошенник, выдающий себя за работника технической поддержки, заставляет жертву установить TeamViewer.

После этого злоумышленник может получить удаленный доступ к устройству жертвы, а затем собрать коды многофакторной аутентификации, необходимые для входа в аккаунты жертвы на криптобиржах.

Источник: securitylab

Новая крупномасштабная фишинговая кампания использует Microsoft Azure и Google Sites для кражи криптовал

Как защитить свои почтовые сервера?

Шифровальщики как масштабная угроза

Современные аспекты кибербезопасности

BEC атаки

Утечка Sphero: робототехника стала источником утечки данн

Операция «TetrisPhantom»: обычная флешка может стать ключом к государственным секрет

Новая крупномасштабная фишинговая кампания использует Microsoft Azure и Google Sites для кражи криптовал

Новая крупномасштабная фишинговая кампания использует Microsoft Azure и Google Sites для кражи криптовал

Всего за две недели производителя автозапчастей атаковали три разных шифровальщи

Интенсив «Код ИБ ПРОФИ» пройдет в Сочи в сентяб