Группа анализа ASEC обнаружила новую фишинговую кампанию, направленную на пользователей популярного южнокорейского сервиса Kakao. Злоумышленники создали поддельные страницы входа в систему, которые визуально практически неотличимы от оригинальных. Целью атаки стали конкретные пользователи, чьи учетные записи могли быть связаны с медиа, бизнесом и даже деятельностью, касающейся Северной Кореи.
Описание
Фишинговая схема работает следующим образом: пользователи получают письма с поддельной ссылкой, ведущей на фальшивую страницу входа в Kakao. URL-адрес выглядит правдоподобно - например, hxxp://accountskakao.pnbbio[.]com или hxxp://accountskakao.koreawus[.]com, что легко может ввести в заблуждение. Настоящий же домен Kakao - https://accounts.kakao.com. Разница в одну букву или символ может остаться незамеченной, особенно если пользователь торопится или невнимательно проверяет адрес.
Особенностью этой атаки является автоматическое заполнение поля для ввода идентификатора. Это создает ложное ощущение легитимности страницы, поскольку пользователь видит свой логин и остается только ввести пароль. Однако введенные данные немедленно отправляются на сервер злоумышленников через GET-запрос, что позволяет им получить полный доступ к аккаунту.
Аналитики ASEC отмечают, что среди жертв могут быть журналисты, профессора университетов и даже представители организаций, связанных с Северной Кореей. Например, в списке автозаполненных учетных записей фигурируют логины вроде a*d (профессор университета), ya*2 (репортер) и sh*her (северокорейская бизнес-группа). Это позволяет предположить, что атака была тщательно спланирована и нацелена на конкретные категории пользователей.
Еще одной хитростью злоумышленников является изменение идентификатора пользователя через некоторое время после входа. Это может быть связано с тем, что многие медиа-компании и журналисты используют домен hanmail.net, который также принадлежит Kakao. Таким образом, атака может быть направлена на получение доступа к корпоративным и личным данным, которые впоследствии могут быть использованы для шпионажа или мошенничества.
Чтобы защититься от подобных атак, пользователям необходимо соблюдать базовые правила кибербезопасности. Во-первых, всегда проверять URL-адрес перед вводом учетных данных. Во-вторых, не переходить по ссылкам из подозрительных писем, даже если они выглядят убедительно. В-третьих, использовать двухфакторную аутентификацию, которая значительно усложнит злоумышленникам доступ к аккаунту даже в случае утечки пароля.
Эксперты также рекомендуют регулярно обновлять пароли и не использовать один и тот же пароль для разных сервисов. Если же пользователь случайно ввел свои данные на подозрительном сайте, необходимо как можно быстрее сменить пароль и проверить аккаунт на подозрительную активность.
Данный случай еще раз подтверждает, что фишинг остается одним из самых эффективных методов кибератак. Злоумышленники постоянно совершенствуют свои методы, делая поддельные страницы все более правдоподобными. Поэтому бдительность и осведомленность - ключевые факторы защиты в современном цифровом мире.
Индикаторы компрометации
URLs
- http://accountskakao.pnbbio.com
- http://accountskakao.koreawus.com
