Главная страница » Индикаторы компрометации
0
1 день
Индикаторы компрометации

Мошенники запугивают пользователей по всему миру фишинговыми письмами о «блокировке» облачного хранилища

phishing

В последние месяцы наблюдается крупная кампания по рассылке фишинговых писем, нацеленная на пользователей по всему миру. Злоумышленники массово рассылают электронные письма, в которых ложно утверждается, что фотографии, файлы и учётные записи получателей находятся под угрозой удаления или блокировки из-за якобы неудачного платежа. Как сообщает издание BleepingComputer, кампания активизировалась, и многие пользователи получают несколько версий мошеннических сообщений в день, отправленных, по всей видимости, одной и той же группой.

Описание

Основная тактика атаки - создание ощущения срочности. Все письма содержат утверждения о проблемах с оплатой подписки или переполнении хранилища, которые необходимо немедленно решить. В противном случае, как предупреждают мошенники, доступ к данным будет потерян. Текст писем варьируется, но суть остаётся неизменной: пользователя вынуждают совершить немедленные действия под угрозой утери информации.

Одно из многочисленных писем о блокировке облачного хранилища, рассылаемых по всему миру.

Для рассылки используются самые разные домены, многие из которых, судя по всему, сгенерированы случайным образом специально для этой спам-кампании. Тема писем также постоянно меняется и часто включает имя или адрес электронной почты получателя, а также конкретные даты или идентификаторы для повышения правдоподобности. Среди примеров заголовков - «Требуются немедленные действия. Платёж отклонён», «Ваша учётная запись заблокирована! Ваши фото и видео будут удалены», «Облачное хранилище 1 ТБ: просроченный платёж».

Содержание писем имитирует уведомления от популярных облачных сервисов. В них упоминаются вымышленные номера аккаунтов, подписок и даты истечения срока действия. Типичное сообщение гласит: «Ваша облачная подписка в опасности. Нам не удалось обработать ваш последний платёж. Если проблема не будет решена, ваше облачное хранилище и резервные копии могут быть приостановлены». Далее следует призыв срочно обновить платёжные данные, чтобы не потерять доступ к файлам.

Ключевой элемент атаки - ссылка в теле письма, ведущая на законный домен "storage.googleapis.com", который является частью инфраструктуры Google Cloud Storage. Однако злоумышленники разместили там HTML-файлы-редиректы, которые перенаправляют жертву на фишинговый сайт, размещённый на случайном домене. Все проверенные BleepingComputer ссылки вели к одним и тем же мошенническим страницам.

Эти страницы искусно имитируют порталы облачных служб и используют соответствующий брендинг, включая логотип Google Cloud. На них утверждается, что хранилище пользователя переполнено, а резервное копирование данных остановлено. После нажатия кнопки «Продолжить» запускается фальшивая проверка хранилища, которая всегда показывает, что разделы «Фото», «Диск» и «Почта» заполнены на 100%. Затем предлагается «льготное» обновление тарифа со скидкой 80% для предотвращения потери данных.

Однако вместо перехода на страницу легитимного облачного сервиса пользователь попадает на сайты партнёрского маркетинга, продвигающие совершенно посторонние продукты. Среди них - услуги VPN, малоизвестные программы безопасности и другие подписочные предложения, не имеющие отношения к облачному хранилищу. В конечном итоге пользователь оказывается на странице оформления заказа, где мошенники собирают данные банковских карт и получают партнёрское вознаграждение.

Важно понимать, что это не легитимные уведомления. Настоящие провайдеры облачных услуг не отправляют писем, ведущих на сторонние страницы со «сканированием хранилища» или предлагающих решить проблемы с оплатой через VPN или антивирусы. Кроме того, большинство легитимных сервисов при неудачном платеже не удаляют файлы мгновенно. Например, Google указывает, что при отмене плана Google Drive доступ к дополнительному месту блокируется, а файлы могут быть удалены только через 2 года. Microsoft OneDrive придерживается схожей политики, предусматривающей возможное удаление данных через 6 месяцев, если аккаунт превысил лимит.

Специалисты по безопасности настоятельно рекомендуют пользователям, получившим подобные письма, удалять их, не переходя по ссылкам и ничего не покупая. Цель кампании - напугать получателя и вынудить его совершить ненужную покупку, поэтому игнорирование таких сообщений является наилучшим ответом. Любые вопросы, связанные с облачным хранилищем или платежами, следует проверять исключительно через официальный сайт или приложение легитимного сервиса, вручную введя его адрес в браузере.

Индикаторы компрометации

Emails

  • [name]-6704@ucv9q.333.sb100014.tour.za.com
  • hxsupportxf@bjmbsjabnjjvdfdlntduihco.com
  • xavpy@njyihuhzhyjumdjenwdsugjsku.us
  • zwblygwgtrmwag.18445435479309@qqjon7.oleglp.4mzrly.us
Комментарии: 0
Похожие записи
0
24.04.2024
Индикаторы компрометации

Разработчик вредоносного ПО заманивает детей-эксплуататоров в ловушки для вымогательства

security
Группа хакеров разработала вредоносную программу, которая нацеливается на лиц, активно ищущих детскую порнографию. Они создали поддельный сайт, представляющийся сервисом UsenetClub, и предлагают бесплатный
0
18.11.2025
Индикаторы компрометации

Киберпреступники возрождают устаревший Finger-протокол для скрытых атак

information security
Специалисты по кибербезопасности зафиксировали новую волну атак с использованием давно забытого сетевого протокола Finger, разработанного несколько десятилетий назад.
0
09.12.2024
Индикаторы компрометации

Библиотека Solana Web3.js взломана с целью кражи секретных и закрытых ключей

security
Злоумышленники временно взломали Solana JavaScript SDK, а именно библиотеку '@solana/web3.js', в ходе атаки на цепочку поставок, выпустив две вредоносные версии, нацеленные на кражу приватных ключей криптовалют.