Против INPS запущена новая кампания по смишингу, целью которой является кража данных кредитных карт и личной информации у жертв. Эта кампания отличается хорошей организацией и особенностью использования Telegram-бота для управления операцией. Жертвы получают SMS-сообщение, в котором просит проверить личные данные получателя для осуществления выплаты на их счет.
Компания смишинга INPS
Короткий URL-адрес в сообщении перенаправляет пользователей на мошеннический сайт, который дублирует портал INPS (Национальный институт социального обеспечения Италии).
Смишинг - это атака социальной инженерии, в которой используются поддельные мобильные текстовые сообщения, чтобы обманом заставить людей загрузить вредоносное ПО, поделиться конфиденциальной информацией или отправить деньги киберпреступникам. Термин «смишинг» представляет собой комбинацию слов «SMS» - «служба коротких сообщений», технология, лежащая в основе текстовых сообщений, и «фишинг».
На сайте мошенники проверяют, использует ли пользователь прокси-сервер. Если прокси активен, то пользователь помечается как бот и регистрируется таким образом. Если прокси не используется, то пользователь считается реальным человеком. В зависимости от языка пользователя на сайте загружается соответствующее представление.
После заполнения основной информации на первой странице сайта, загружается вторая страница, на которой запрашиваются данные кредитной карты. Важно отметить, что мошенники также пытаются обойти процесс двухфакторной аутентификации (2FA), запрашивая код, полученный по SMS от банка, а также IBAN жертвы.
Внутренний сервер мошенников работает на отдельном домене, отличном от официального домена INPS. На этом сервере крадутся данные, введенные пользователями, а также получается информация об IP-адресе, браузере, устройстве и операционной системе.
С использованием jQuery мошенники отправляют POST-запрос к API Telegram, передавая украденные данные боту, который выступает в роли центра управления (C2). Данные передаются боту в виде сообщения. В конце запроса происходит перенаправление пользователя на страницу card.php.
Indicators of Compromise
Domains
- be.onelivetv.online
- booking.onelivetv.online
- checkout.onelivetv.online
- coinmaster.onelivetv.online
- com.onelivetv.online
- cpanel.laynesplace.com
- cpcalendars.laynesplace.com
- cpcontacts.laynesplace.com
- github.onelivetv.online
- laynesplace.com
- mail.laynesplace.com
- plopsahotel.onelivetv.online
- plosa.onelivetv.online
- webdisk.laynesplace.com
- webmail.laynesplace.com
- www.laynesplace.com
- www.onelivetv.online
URLs
- https://api.telegram.org/bot728946511
- https://cl.gy/INNSc
- https://laynesplace.com/wp-includes/madukran/
- https://laynesplace.com/wp-includes/madukran/_ibann.php
- https://laynesplace.com/wp-includes/madukran/card.php
- https://laynesplace.com/wp-includes/madukran/fin.php
- https://laynesplace.com/wp-includes/madukran/sms.php
- https://laynesplace.com/wp-includes/madukran/sms_err.php
- https://onelivetv.online/inps/
