Злоумышленник, использующий один и тот же шаблон домена, зарегистрировал более 10 тысяч доменов для различных SMS-фишинговых афер (smishing).
Описание
- Все корневые имена доменов начинаются со строки: com-.
- Поскольку корневой домен начинается с «com-» рядом с поддоменом, полный домен может обмануть потенциальных жертв при случайном осмотре.
- Доменные имена указывают на страницы, выдающие себя за платные услуги и службы доставки посылок по меньшей мере в 10 штатах США и одной канадской провинции.
- Штаты США: Калифорния, Флорида, Иллинойс, Канзас, Массачусетс, Пенсильвания, Нью-Джерси, Нью-Йорк, Техас, Вирджиния.
- провинция Канады: Онтарио
- Смишинг предлагает пользователям раскрыть личную и/или финансовую информацию, включая данные кредитных или дебетовых карт и счетов.
- Смишинговые текстовые сообщения приходят с адресов электронной почты или телефонных номеров.
- Apple iMessage не разрешает использовать ссылки в сообщениях, полученных от неизвестных отправителей.
- Чтобы обойти этот запрет, в таких фишинговых сообщениях пользователям предлагается ответить «Y» и открыть сообщение заново.
- Такое взаимодействие со стороны пользователя позволяет iMessage разрешить ссылки в фишинговых сообщениях.
- Более 70 % этих доменов используют одни и те же два сервера имен и разрешаются на IP-адреса популярных хостинг-провайдеров.
- 93 % разрешенных IP-адресов принадлежат AS13335 (Cloudflare).
Indicators of Compromise
Domains
- com-2h98.xin
- com-citations-etc.xin
- com-courtfees.xin
- com-fastrakeu.xin
- com-penalty.xin
- com-securebill.xin
- com-securetta.xin
- com-ticketd.xin
- com-tickeuz.xin
- com-ucla.xin
- dhl.com-new.xin
- driveks.com-jds.xin
- ezdrive.com-2h98.xin
- ezdrivema.com-citations-etc.xin
- ezdrivema.com-securetta.xin
- e-zpassiag.com-courtfees.xin
- e-zpassny.com-ticketd.xin
- fedex.com-fedexl.xin
- getipass.com-tickeuz.xin
- sunpass.com-ticketap.xin
- thetollroads.com-fastrakeu.xin
- usps.com-tracking-helpsomg.xin
