Специалисты AhnLab Security Intelligence Center (ASEC) обнаружили новую масштабную фишинговую кампанию, нацеленную на пользователей популярного OTT-сервиса. Злоумышленники рассылают поддельные уведомления о проблемах с оплатой подписки, пытаясь получить доступ к учетным данным и банковским реквизитам жертв.
Описание
Мошеннические письма оформлены как официальные уведомления от стриминговой платформы. В них утверждается, что при обработке платежа за подписку возникла ошибка, и получателю предлагается немедленно обновить платежную информацию. Для придания правдоподобности сообщение содержит кнопку "Update Now" ("Обновить сейчас"), которая ведет на фишинговый сайт.
Особенностью данной атаки является отсутствие предзаполненного поля с электронной почтой на фальшивой странице входа. В отличие от большинства фишинговых схем, где адрес жертвы уже указан, в этом случае пользователь должен самостоятельно ввести свои учетные данные. Такой подход усложняет идентификацию мошенничества, поскольку многие жертвы не замечают подмены домена.
После ввода логина и пароля информация незамедлительно передается на командный сервер злоумышленников (C2). Затем пользователь перенаправляется на страницу с сообщением о сбое автоматического продления подписки, где ему предлагают нажать кнопку "Resume my subscription" ("Возобновить мою подписку").
Следующий этап мошенничества направлен на получение банковских данных. Жертва попадает на поддельную страницу оплаты, где требуется ввести реквизиты кредитной карты. На этом этапе злоумышленники собирают полный набор конфиденциальной информации: имя владельца карты, номер телефона, данные самой карты. Вся информация также передается на C2-сервер.
Эксперты по кибербезопасности отмечают, что злоумышленники все чаще используют легитимные платформы в качестве командных серверов. Эта тенденция значительно осложняет обнаружение и блокировку фишинговых атак традиционными средствами защиты.
Пользователям рекомендовано проявлять повышенную бдительность при получении любых писем, связанных с финансовыми операциями или обновлением учетных данных. Необходимо тщательно проверять адрес отправителя и домен сайта, на который ведут ссылки. Особое внимание следует уделять сообщениям, требующим срочных действий или содержащим просьбы предоставить личную или финансовую информацию.
При возникновении сомнений в подлинности письма лучше напрямую обратиться в службу поддержки сервиса через официальное приложение или сайт. Регулярный мониторинг банковских выписок и использование двухфакторной аутентификации также помогут минимизировать потенциальный ущерб от подобных атак.
Киберпреступники постоянно совершенствуют методы социальной инженерии, делая фишинговые письма все более убедительными. В текущей кампании злоумышленники успешно имитируют стиль и оформление настоящих уведомлений от популярного стримингового сервиса, что повышает вероятность успеха атаки.
Организации должны усилить обучение сотрудников основам кибергигиены, а обычным пользователям стоит регулярно обновлять программное обеспечение и использовать надежные решения для защиты от вредоносного программного обеспечения. Современные фишинговые атаки представляют серьезную угрозу как для частных лиц, так и для корпоративных пользователей.
Индикаторы компрометации
URLs
- https://ixz.rlj.mybluehost.me/ol282f645de/auth/processing.php
