Эксперты по кибербезопасности из Palo Alto Networks зафиксировали масштабную кампанию SMS-фишинга (смишинг), в ходе которой злоумышленники выдают себя за Налоговое управление Калифорнии (Franchise Tax Board, FTB). Мошенники рассылают текстовые сообщения, побуждающие пользователей перейти на поддельные сайты, которые имитируют официальный государственный ресурс и собирают конфиденциальную информацию жертв.
Описание
Доменные имена, связанные с этой атакой, используют комбинации слов «FTB», «CA» и «gov», чтобы вызвать доверие у получателей и замаскировать мошенническую деятельность. На поддельных веб-сайтах предлагается получить налоговый возврат, однако единственная цель этих платформ - кража личных данных. Злоумышленники собирают такую информацию, как номер социального страхования (SSN), адрес проживания и платёжные реквизиты, включая данные банковских карт.
Эта кампания стала частью растущей общемировой тенденции, когда смишинг атакует как коммерческие службы, так и государственные организации. Только за последнюю неделю для целей мошенничества было зарегистрировано более 400 доменов. Текстовые сообщения содержат ссылки на фишинговые страницы, которые визуально повторяют дизайн официального сайта Налогового управления Калифорнии, что увеличивает вероятность успешного обмана пользователей.
Важным изменением в тактике преступников стал переход на использование американских телефонных номеров для рассылки сообщений. Ранее подобные кампании чаще всего осуществлялись с иностранных номеров или даже с адресов электронной почты, что вызывало больше подозрений. Сейчас сообщения выглядят более правдоподобно, что усложняет их обнаружение.
Большинство фишинговых доменов направляют трафик на два IP-адреса: 43.153.19[.]10 и 170.106.140[.]181. Анализ регистрационных данных показал, что свыше 56% доменов были зарегистрированы через компанию Dominet (HK) Limited, а ещё 33% - через регистратора Namesilo. Эта модель совпадает с трендами, ранее наблюдавшимися в кампаниях, имитирующих платные дорожные службы, которые отслеживаются под тегами com_smishing и gov_smishing.
Эксперты Palo Alto Networks относят данную активность к кампании gov_smishing и продолжают мониторинг ситуации. Рост числа атак через SMS требует повышенной бдительности со стороны пользователей. Специалисты рекомендуют не переходить по ссылкам из неожиданных сообщений, особенно если они связаны с финансовыми операциями или запрашивают личные данные. В случае сомнений следует напрямую обращаться в соответствующую организацию через официальные каналы связи.
Осведомлённость и осторожность остаются ключевыми факторами противодействия фишинговым атакам. Государственные учреждения и сервисы редко запрашивают конфиденциальную информацию через SMS, поэтому подобные сообщения должны сразу вызывать подозрение.
Индикаторы компрометации
IPv4
- 170.106.140.181
- 43.153.19.10
Domains
- ftb.cagov-alo.cc
- ftb.cagov-bd.cfd
- ftb.cagov-lba.cc
- ftb.cagov-ose.cc
- ftb.ca-gov-qn.cfd
- ftb.cagov-tug.cc
- ftb.ca-gov-xq.top
- ftb.cagov-zbv.cc
- ftb.ca-lb.cc
- ftb.ca-lf.cc
- ftb.ca-ne.cc
- ftb.ca-nu.cc
- ftb.ca-ra.cc
- ftb.ca-zxc.cc
- ftb.gov-ca-ly.bar
- ftb.gov-ca-os.bar
- ftb.gov-ca-ul.bar
- ftb.gov-ca-wv.bar
