фото: https://static.tildacdn.com/
Злоумышленники плодят фишинговые сайты и используют все более хитрые цепочки приманок с целью заставить жертв выдать свои платежные данные. Рассказывает Sauap.org со ссылкой на CNews.
Эксперты компании Netskope Threat Labsопубликовали исследование широкомасштабной фишинговой кампании, операторы которой используют поддельные PDF-документы, размещенные в сети доставки контента (CDN) Webflow. Конечной целью фишинговых атак является кража данных кредитных карт и финансовое мошенничество.
Сам по себе сервис Webflow — это конструктор веб-сайтов, которым в последние месяцы злоумышленники стали активно пользоваться для создания фишинговых страниц. В октябре прошлого года специалисты Netskope Threat Labsсообщили, что между апрелем и сентябрем трафик к фишинговым страницам, созданным с помощью Webflow, вырос вдесятеро. Поддельные сайты имитируют легитимные ресурсы более 120 различных организаций.
Хитропродуманная фишинговая кампания использует PDF-документы, которые хранятся в CDN-сети Webflow, для кражи данных кредитных карт.
«Злоумышленники нацелены на потенциальных жертв, которые ищут те или иные документы в поисковых системах; их перенаправляют на вредоносные PDF-файлы, которые содержат изображения Captcha со втроеннымифишинговыми ссылками; в результате жертвы выдают значимую информацию», — пишет специалист Netskope Threat Labs Ян Михаэль Алькантара (Jan Michael Alcantarra).
Кампания началась где-то во второй половине 2024 г. Основной целью являются люди, которые ищут названия книг, документов и диаграм в Google и других поисковиках. Им «подсовывают» PDF-документы с названиями, релевантными результатам поиска и мнимым изображением Captcha, по клику на который открывается страница с еще одной Captcha — уже настоящей: Cloudflare Turnstile.
Как следствие, пользователи считают, что они проходят настоящую проверку безопасности. Злоумышленникам же удается тем самым обойти статические сканеры.
Прошедшие обе Captcha пользователи перенаправляются на страницу с кнопкой Download(«Скачать»). Однако после нажатия на нее пользователю выводится всплывающее окно с предложением ввести свои личные данные и платежную информацию.
Если жертва вводит эти сведения, в ответ он получает информацию об ошибке: дескать, данные не приняты.
После третьей попытки ввести их, пользователя перенаправляют на страницу с ошибкой HTTP 500. Данные платежной карты же, естественно, оказываются в распоряжении злоумышленников.
«Причиной, по которой злоумышленники облюбовали Webflow, связана с тем, что пользователи этой CDN могут создавать субдомены без дополнительных выплат, и обеспечивать им произвольные названия. А, например, Cloudflare R2 или Microsoft Swayавтоматически генерируют имена субдоменов, которые выглядят как последовательности случайных символов» , — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. «Случайные последовательности будет труднее выдать за легитимный ресурс».
Эксперт отметил, что фишинг подобного рода рассчитан на невнимательность и спешку. Проблем можно избежать, если относиться с заведомым подозрением к любым страницам, которые запрашивают данные кредитных карт.
Понравилась статья? Поделитесь с друзьями!
Без активной гиперссылки на материал Sauap.org копирование запрещено!
