Угроза фишинговых атак продолжает набирать обороты, и на этот раз целью злоумышленников стала система G5, используемая Министерством образования США для управления грантами и федеральным финансированием. Как сообщает исследовательская группа PreCrime Labs компании BforeAI, в сети появились поддельные домены, имитирующие официальную страницу входа в G5.gov. Их цель - заставить пользователей ввести свои учетные данные, которые затем попадут в руки мошенников.
Описание
Фальшивые сайты копируют дизайн и структуру оригинального портала, включая даже такие детали, как поле для ввода пароля с пометкой «регистрозависимый», чтобы создать видимость легитимности. Среди обнаруженных доменов - mynylifeinsuraces[.]com, mysoleverhrnix[.]com, myizolvedpeopls[.]com, myapdpetrol[.]com, g5parameters[.]com и g4parameters[.]com. Все они используют Cloudflare для маскировки своего реального местоположения и повышения устойчивости к блокировкам.
Особую тревогу вызывает тот факт, что эти атаки совпали с объявлением администрации Трампа о сокращении 1400 сотрудников Министерства образования. Такая ситуация может стать благоприятной почвой для социальной инженерии - злоумышленники могут рассылать письма, ссылаясь на реорганизацию или задержки выплат, чтобы убедить жертв перейти на поддельные страницы.
Технический анализ показывает, что фишинговые сайты не просто собирают данные, но и используют сложные механизмы для обхода автоматических систем защиты. Например, форма отправляет данные через скрипт analytics.php, а затем имитирует процесс входа с помощью updates.php, создавая иллюзию работы настоящего сервиса. После ввода данных пользователь перенаправляется на страницу /verify/, где, вероятно, его ждет дальнейший обман, например, запрос двухфакторной аутентификации.
На данный момент только BforeAI обнаружила эту кампанию, что подчеркивает важность превентивных методов защиты. Основные блоклисты пока не включили эти домены в свои списки угроз, что позволяет мошенникам действовать безнаказанно.
Последствия таких атак могут быть крайне серьезными. Получив доступ к учетным записям, злоумышленники смогут не только просматривать конфиденциальные данные о грантах, но и изменять реквизиты для выплат, выдавая себя за получателей финансирования. Кроме того, подобные атаки на государственные системы создают угрозу для национальной безопасности, поскольку могут быть использованы для более масштабных кибератак или подрыва доверия к институтам.
Пока власти и IT-специалисты работают над нейтрализацией угрозы, пользователям портала G5 рекомендуется проявлять повышенную бдительность при переходе по ссылкам и вводе учетных данных. Официальный сайт всегда следует проверять вручную, а подозрительные письма - игнорировать или сообщать о них в службу поддержки.
Индикаторы компрометации
Domains
- g4parameters.com
- g5parameters.com
- myapdpetrol.com
- myizolvedpeopls.com
- mynylifeinsuraces.com
- mysoleverhrnix.com