Компания Darktrace зафиксировала резкий рост фишинговых кампаний, приуроченных к Черной пятнице. Злоумышленники используют бренды Amazon, Louis Vuitton и люксовых часовых ритейлеров для обмана потребителей. Атаки сочетают социальную инженерию, поддельные домены и скрытые перенаправления на вредоносные ресурсы.
Описание
Популярность распродаж делает их привлекательной мишенью для киберпреступников. Традиционно однодневное событие превратилось в многодневный маразон сражений за внимание покупателей. Легитимные маркетинговые рассылки создают идеальную среду для фишинга, когда пользователи ожидают большое количество уведомлений от ритейлеров.
Мошенники искусно эксплуатируют психологические триггеры. Они создают ощущение срочности, ограниченности предложений и доверия к известным брендам. Например, тема письма "NOW LIVE: Amazon’s Best Early Black Friday Deals on Gadgets Under $60" побуждает к немедленному действию. При этом отправителем значится подозрительная организация Deal Watchdogs.
Технически атаки становятся все более изощренными. Злоумышленники массово регистрируют новые домены вместо повторного использования заблокированных ресурсов. Они размещают вредоносные ссылки на легитимных облачных платформах, таких как Google Cloud Storage. Дополнительно применяются многоуровневые схемы перенаправления для обхода базовых систем безопасности.
16 ноября Darktrace обнаружила фишинговую кампанию, имитирующую рассылку Amazon. Письмо содержало реалистичный брендинг и скрытую ссылку на хранилище Google. Система идентифицировала аномалии и заблокировала email до доставки получателям. Анализ показал, что домен отправителя, вероятно, был сгенерирован алгоритмом автоматического создания доменных имен.
20 ноября была зафиксирована атака с имитацией Louis Vuitton. Письмо с темой о скидках на сумки приходило с российского домена bookaaatop[.]ru, что являлось нетипичным для получателя. Все ссылки в письме, включая кнопку отписки, вели на фишинговый ресурс. Darktrace заблокировала эту рассылку, предотвратив потенциальный ущерб.
Особую опасность представляют предложения о продаже люксовых товаров по заниженным ценам. Например, фиктивный магазин часов Rolex со стоимостью от 250 долларов использовал многоуровневую схему обхода защиты. Ссылка вела на временный домен, который перенаправлял на реалистично выглядящий сайт-ловушку. Пользователям предлагалось создать учетную запись для покупки, что позволяло злоумышленникам собирать учетные данные.
Современные фишинговые кампании демонстрируют сложную тактику уклонения. Они сочетают технические ухищрения с психологическим манипулированием. Традиционные сигнатурные методы защиты часто не справляются с такими угрозами из-за использования новых доменов и легитимных платформ.
Эксперты рекомендуют усилить меры безопасности в период сезонных распродаж. Ключевое значение имеет обучение сотрудников и пользователей распознаванию фишинговых атак. Технические решения должны включать поведенческий анализ и обнаружение аномалий.
Сезонность атак требует особого внимания к кибергигиене. Организациям следует проверять подозрительные ссылки перед переходом, обращать внимание на домены отправителей и использовать многофакторную аутентификацию. Комплексный подход к безопасности помогает противостоять даже самым изощренным фишинговым кампаниям.
Индикаторы компрометации
Domains
- bookaaatop.ru
- luxy-rox.com
- petplatz.com
- xn--80aaae9btead2a.xn--p1ai
URLs
- https://x.wwwtopsalebooks.ru/.../d65fg4er.html
