Киберпреступники становятся умнее, организованнее и изощреннее.

Только сегодня утром я получил два специально созданных мошеннических письма от киберпреступников, нацеленных на ничего не подозревающих нигерийцев (в основном тех, у кого есть банковские счета). Я должен сказать, что впечатлен!

Я чуть не попался на это мошенническое письмо, даже несмотря на годы моих исследований в области информационной безопасности и этического взлома. Причины, по которым я чуть не попался на эту аферу, просто потому, что.

  1. Я клиент UBA и использую его карту предоплаты для онлайн-транзакций.
  2. Имя отправителя - [email protected] (не фактический адрес электронной почты, а имя отправителя).
  3. Электронное письмо правильно отформатировано.
  4. Настоящий URL-адрес замаскирован под http://www.ibank.ubagroup.com/BVN (вот настоящий URL-адрес замаскирован http://ow.ly/XUJAM).
  5. Пользовательский интерфейс почти как настоящий.

Когда я щелкнул URL-адрес, я перешел на этот поддельный веб-сайт, расположенный ниже.

Вот оригинальный веб-сайт с защищенным HTTPS, замком и зеленым цветом.

Нигерийские киберпреступники с каждым днем ​​совершенствуют свою игру и осваивают новые инструменты и технологии, помогающие в своей деятельности.

Сначала это электронное письмо содержит ссылку ow.ly, которая дважды выполняет переадресацию до достижения конечного пункта назначения.

Первое перенаправление было на взломанный сайт http://www.freeskyaerospace.com/wp-content/themes/Hereisworld/fontawesome/less/spcsless.php »

Вот первый взломанный сайт, показывающий каталог. Здесь мы видим файл spcsless.php, который теперь перенаправляет на другой веб-сайт.

Позже это перенаправляется на URI данных в кодировке base64, который загружает веб-страницу в систему жертвы, поэтому независимо от того, будут ли удалены все задействованные веб-сайты, окончательный веб-сайт будет находиться на странице жертвы.

После того, как вы, наконец, войдете на веб-сайт, появится эта страница с просьбой к пользователям ввести свои секретные вопросы, включая свой токен.

Даже после того, как пользователи введут свои данные, они перейдут на следующую страницу с запросом токена. Независимо от того, сколько раз пользователи вводят свой токен, он продолжает показывать сообщение об ошибке.

Если токен банка на самом деле является временным - основанным на одно- временном алгоритме пароля (TOTP), то я полагаю, что злоумышленник получит эти данные через мгновенный протокол, такой как XMPP или IRC. Если это так, то я считаю, что это организованная киберпреступность.

Мне удалось быстро сообщить о поддельной ссылке ow.ly в HootSuite, и они быстро удалили подозрительную ссылку.

Продолжая копаться в записях SPF для udirect.com, я был поражен тем, что не было ни одной отдельной записи SPF. Это означает, что любой может подделать адрес электронной почты и отправить электронное письмо от имени Udirect.com.

Если домен публикует запись SPF, спамеры и фишеры с меньшей вероятностью будут подделывать электронные письма, выдаваемые из этого домена, потому что поддельные электронные письма с большей вероятностью будут обнаружены фильтрами спама, которые проверяют запись SPF. Следовательно, домен, защищенный SPF, менее привлекателен для спамеров и фишеров. Поскольку домен, защищенный SPF, менее привлекателен в качестве поддельного адреса, он с меньшей вероятностью попадет в черный список спам-фильтрами, и, в конечном итоге, легитимная электронная почта от домена с большей вероятностью пройдет. [4]

Мне удалось сообщить о ссылке и успешно закрыть эту конкретную кампанию, но каждый день отправляются сотни тысяч спам-писем, и все больше людей попадают в мошенничество. Такие люди, как я, мало что могут сделать. Я надеюсь, что больше организаций действительно серьезно отнесутся к информационной безопасности.

В настоящее время я работаю руководителем отдела цифровой безопасности в CcHub и работаю над проектом Osiwa, чтобы помочь ОГО, журналистам, активным гражданам и блоггерам защитить себя от угроз цифровой безопасности.

Если вы найдете эту статью интересной, нажмите ♥, чтобы другие тоже могли ею насладиться, и вы можете написать в Твиттере @olufuwatayo или написать мне на olufuwa.tayo (gmail.com)