Киберпреступники используют легитимные сервисы веб-форм для фишинговых атак

Особенностью данной кампании является использование популярных платформ для создания веб-форм, таких как smartforms[.]dev и submit-form[.]com (также известный как formspark[.]io), для сбора учетных данных жертв. Это позволяет злоумышленникам обходить традиционные системы безопасности, поскольку данные передаются через легитимные и доверенные сервисы, что затрудняет обнаружение вредоносной активности.

Атака начинается с получения целевого электронного письма, оформленного как деловой запрос. Сообщения содержат просьбу ознакомиться с заказом и предоставить коммерческое предложение по ценам. Вложение представляет собой HTML-страницу, которая визуально идентична интерфейсу входа таких популярных сервисов, как Microsoft Excel, Adobe Reader или почтовой платформы Zimbra.

Важной характеристикой этой кампании является персонализация атак. HTML-файлы содержат предварительно заполненные адреса электронной почты получателей, что повышает доверие жертв к поддельному содержимому. Когда пользователь вводит свои учетные данные на фишинговой странице, информация автоматически отправляется злоумышленникам через API легитимного сервиса веб-форм.

Еще одной тактикой, используемой в этих атаках, является техника маскировки. После сбора учетных данных или в случае возникновения подозрений у жертвы, фишинговая страница может перенаправлять пользователя на настоящий сайт имитируемого сервис-провайдера. Это создает иллюзию законности операции и затрудняет идентификацию мошенничества.

Эксперты по безопасности отмечают, что подобные методы демонстрируют растущую изощренность киберпреступников, которые все чаще используют легитимные интернет-сервисы для обхода систем защиты. Традиционные антифишинговые решения могут оказаться неэффективными против таких атак, поскольку они используют доверенные домены и сервисы.

Специалисты рекомендуют организациям усиливать меры безопасности, включая обучение сотрудников распознаванию фишинговых атак, внедрение многофакторной аутентификации и использование расширенных систем мониторинга сетевой активности. Особое внимание следует уделять проверке вложений в электронных письмах, даже если они выглядят как обычные HTML-файлы.

Данный случай подчеркивает важность комплексного подхода к кибербезопасности, где технические средства защиты сочетаются с повышением осведомленности пользователей. Поскольку злоумышленники продолжают совершенствовать свои методы, организациям необходимо регулярно обновлять процедуры безопасности и проводить тренировки по реагированию на инциденты.

Распространение таких изощренных фишинговых атак свидетельствует о необходимости постоянного совершенствования систем защиты и развития культуры кибербезопасности в организациях. Эксперты предупреждают, что в ближайшее время можно ожидать дальнейшего развития подобных тактик, использующих легитимные интернет-сервисы для скрытного проведения атак.

URLs

• smartforms.dev/submit/686a5dfac184545ccc0beb1c
• smartforms.dev/submit/68ab7b13c184545ccc0c7d3b
• smartforms.dev/submit/68d292d6c184545ccc0caa78
• smartforms.dev/submit/68d45a25c184545ccc0cad45
• smartforms.dev/submit/68da86c0c184545ccc19a8d3
• smartforms.dev/submit/68ecb295c184545ccc20bc83
• submit-form.com/SdZnE6Mxd

Emails

• [email protected]
• [email protected]
• [email protected]
• [email protected]
• [email protected]

SHA256

• 3a42fa488ea4ea69e633a50058c692230cf0298b51f7f3f5070d38072c21814f
• e31ad8d8681e38c08c71a670d15d2cc3bbff2728e314d7602119c6b1114c4d22