Новая фишинговая кампания собирает максимальное количество личных данных
Исследователи компании Akamai недавно обнаружили фишинговую кампанию , нацеленную на пользователей PayPal, которая крадет большое количество личной информации жертв, включая паспорта и фотографии. Фишинг проводится на взломанных веб-сайтах WordPress, что позволяет злоумышленнику избежать обнаружения.
Киберпреступник нацеливается на плохо защищенные веб-сайты и взламывает их вход в систему, используя список распространенных пар учетных данных, найденных в Интернете. Хакер использует этот доступ для установки модуля управления файлами, который позволяет загружать набор для фишинга на взломанный сайт. По словам Akamai, один из методов избежания обнаружения заключается в перекрестной ссылке IP-адресов на домены определенных ИБ-компаний.
Фишинговая страница максимально имитирует официальный сайт PayPal. Мошенник использует файл «.htaccess» для перезаписи URL-адреса, чтобы он не заканчивался расширением файла PHP. Это добавляет более правдоподобный вид, который придает легитимность. Кроме того, все GUI-элементы в формах стилизованы под тему PayPal, поэтому фишинговые страницы выглядят аутентично.
- Фишинг начинается с поддельной проверки CAPTCHA;
- Далее жертве предлагается войти в свою учетную запись PayPal с помощью адреса электронной почты и пароля, которые автоматически передаются злоумышленнику;
- Под предлогом «подозрительной активности» учетной записи жертвы, киберпреступник запрашивает дополнительную информацию для проверки;
- Затем жертву просят предоставить личные и платежные данные, включая данные банковской карты, CVV-код карты, адрес, номер социального страхования, девичью фамилию матери. Помимо данных карты здесь также требуется PIN-код карты;
- Далее мошенник просит жертву связать свой e-mail с PayPal, чтобы получить токен для доступа к электронной почте пользователя;
- Затем жертву просят загрузить документы, удостоверяющие личность для подтверждения действий (паспорт, национальное удостоверение личности или водительские права). Загрузка сопровождается конкретными инструкциями, такими же, как у PayPal или любого другого сервиса.
Киберпреступник может использовать всю эту информацию для различных незаконных действий:
- кража личных данных;
- отмывание денег (создание счетов в криптовалюте или регистрация компаний);
- анонимные покупки;
- захват банковских счетов;
- клонирование платежных карт;
- и многие другие преступные действия.
«Загрузка государственных документов и селфи для их проверки — это более опасная угроза для жертвы, чем просто потеря информации о кредитной карте, эти данные можно использовать для создания торговых счетов в криптовалюте от имени жертвы. Затем их можно использовать для отмывания денег, уклонения от уплаты налогов или обеспечения анонимности для других киберпреступлений», — заявила Akamai.
Исследователи обнаружили, что функция загрузки файлов содержит уязвимость, которую можно использовать для загрузки веб-шелла и получения контроля над скомпрометированным веб-сайтом.
Учитывая огромное количество запрашиваемой информации, мошенничество может показаться очевидным. Однако, по словам исследователей Akamai, именно этот элемент социальной инженерии делает фишинг успешным.
«В наши дни люди судят о брендах и компаниях по их мерам безопасности», — говорят исследователи. Использование CAPTCHA с самого начала сигнализирует о наличии дополнительной проверки. Используя методы настоящих сервисов, злоумышленник укрепляет доверие жертвы.
В 2021 году от кражи личных данных пострадали 42 млн. человек, а общий ущерб составил $52 млрд. Для избежания потери данных пользователям рекомендуется внимательно проверять доменное имя страницы, запрашивающей конфиденциальную информацию, а также не указывать данные карты на сторонних сайтах.
Источник: securitylab
