Представляем новости об актуальных технологиях фишинга и других атаках на человека c 6 по 12 сентября 2019 года.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Новая версия шифровальщика Nemty распространяется через фишинговый сайт, имитирующий PayPal.

1. Мошенники создали полную копию сайта PayPal, зарегистрировав для неё домен pаypаl.com, имя которого содержит Unicode-символы из другого языка. В кодировке Punycode это имя выглядит как „xn—ayal-f6dc.com“
2. Сайт предлагает пользователям получить кэшбек в 3-5% от суммы покупок через PayPal.
3. Для получения кэшбека нужно скачать и установить на компьютер файл cashback.exe.
4. Как только пользователь запустит «программу для кэшбека», она начнёт шифровать его файлы и удалять теневые копии. В среднем на шифрование одного компьютера Nemty тратит около 6 минут.
5. Закончив шифрование, вредонос требует выкуп в размере 1000 долларов США в биткоинах.

Авторы очередной фишинговой кампании используют CAPTCHA, чтобы скрывать поддельные страницы авторизации в сервисе Microsoft от шлюзов безопасности электронной почты.

1. Пользователь получает письмо с уведомлением о новом голосовом сообщении. Чтобы прослушать его, нужно перейти по ссылке:

2. По ссылке пользователь попадает на страницу с CAPTCHA: нужно нажать галочку в подтверждение, что являешься человеком. Эта страница не имеет вредоносного контента, поэтому помечается как безопасная.

3. Затем пользователь попадает на фишинговую страницу, имитирующую страницу авторизации Microsoft:

4. Введённые на этой странице учётные данные отправляются к злоумышленникам.

5. Поскольку защитное решение, проверяющее безопасность электронной почты, не может нажать галочку и попасть на фишинговую страницу, а страница размещается в инфраструктуре Microsoft, атака проходит успешно, и техническая защита не обнаруживает проблем.

Новая фишинговая кампания группировки COBALT направлена на кражу данных сотрудников университетов по всему миру.

Схема атаки:

Атака начинается с фишингового письма, замаскированного под письмо от университетской библиотеки:

1. В письме сообщается, что доступ к ресурсам библиотеки приостановлен из-за неактивности пользователя. Для восстановления нужно заново активировать учётную запись: перейти по ссылке в письме ввести свои учётные данные.
2. Когда пользователь переходит по ссылке, он попадает на поддельную страницу логина университетской библиотеки, скопированную с оригинальной.
3. Мошеннические страницы размещаются на доменах в зонах .ml, .ga., .cf, .gq, .tk. Имена доменов совпадают с оригинальными доменами университетов.
4. Когда пользователь вводит свои данные, скрипт на странице сохраняет их в текстовый файл, а затем перенаправляет его на оригинальный сайт библиотеки.

Инциденты

Работник японского торгового центра запомнил данные банковских карт 1300 человек и использовал их для заказа товаров из интернета.

Благодаря фотографической памяти японец запоминал номер карты, имя владельца, дату действия и код безопасности, пока покупатель расплачивался ей. Заказанные товары он сдавал в ломбард, а выручку тратил на еду и аренду жилья.

Европейская компания Toyota Boshoku Corporation лишилась 37 миллионов долларов из-за атаки с компрометацией деловой переписки (business email compromise, BEC).

Сотрудники компании получили письмо от мошенников с указаниями об оплате и, поскольку письмо не вызвало подозрений, отправили оплату.

Детали атаки не сообщается, вернуть похищенные средства пока не удалось.

Неизвестные злоумышленники взломали аккаунт актера Роберта Дауни-младшего в Instagram, чтобы собрать личные данные его поклонников.

Для привлечения внимания мошенники разместили в аккаунте несколько постов, содержащих сведения о бесплатной раздаче 2 тысяч смартфонов Apple iPhone XS, а также автомобиля Tesla, Apple Watch, MacBook Pro и подарочных сертификатов.

Для сбора данных злоумышленники добавили в биографию актёра ссылку на страницу, собирающую персональные данные, сокращённую с помощью сервиса bit.ly.