Киберпреступники становятся умнее, организованнее и изощреннее.
Только сегодня утром я получил два специально созданных мошеннических письма от киберпреступников, нацеленных на ничего не подозревающих нигерийцев (в основном тех, у кого есть банковские счета). Я должен сказать, что впечатлен!
Я чуть не попался на это мошенническое письмо, даже несмотря на годы моих исследований в области информационной безопасности и этического взлома. Причины, по которым я чуть не попался на эту аферу, просто потому, что.
- Я клиент UBA и использую его карту предоплаты для онлайн-транзакций.
- Имя отправителя - [email protected] (не фактический адрес электронной почты, а имя отправителя).
- Электронное письмо правильно отформатировано.
- Настоящий URL-адрес замаскирован под http://www.ibank.ubagroup.com/BVN (вот настоящий URL-адрес замаскирован http://ow.ly/XUJAM).
- Пользовательский интерфейс почти как настоящий.
Когда я щелкнул URL-адрес, я перешел на этот поддельный веб-сайт, расположенный ниже.
Вот оригинальный веб-сайт с защищенным HTTPS, замком и зеленым цветом.
Нигерийские киберпреступники с каждым днем совершенствуют свою игру и осваивают новые инструменты и технологии, помогающие в своей деятельности.
Сначала это электронное письмо содержит ссылку ow.ly, которая дважды выполняет переадресацию до достижения конечного пункта назначения.
Первое перенаправление было на взломанный сайт http://www.freeskyaerospace.com/wp-content/themes/Hereisworld/fontawesome/less/spcsless.php »
Вот первый взломанный сайт, показывающий каталог. Здесь мы видим файл spcsless.php, который теперь перенаправляет на другой веб-сайт.
Позже это перенаправляется на URI данных в кодировке base64, который загружает веб-страницу в систему жертвы, поэтому независимо от того, будут ли удалены все задействованные веб-сайты, окончательный веб-сайт будет находиться на странице жертвы.
После того, как вы, наконец, войдете на веб-сайт, появится эта страница с просьбой к пользователям ввести свои секретные вопросы, включая свой токен.
Даже после того, как пользователи введут свои данные, они перейдут на следующую страницу с запросом токена. Независимо от того, сколько раз пользователи вводят свой токен, он продолжает показывать сообщение об ошибке.
Если токен банка на самом деле является временным - основанным на одно- временном алгоритме пароля (TOTP), то я полагаю, что злоумышленник получит эти данные через мгновенный протокол, такой как XMPP или IRC. Если это так, то я считаю, что это организованная киберпреступность.
Мне удалось быстро сообщить о поддельной ссылке ow.ly в HootSuite, и они быстро удалили подозрительную ссылку.
Продолжая копаться в записях SPF для udirect.com, я был поражен тем, что не было ни одной отдельной записи SPF. Это означает, что любой может подделать адрес электронной почты и отправить электронное письмо от имени Udirect.com.
Если домен публикует запись SPF, спамеры и фишеры с меньшей вероятностью будут подделывать электронные письма, выдаваемые из этого домена, потому что поддельные электронные письма с большей вероятностью будут обнаружены фильтрами спама, которые проверяют запись SPF. Следовательно, домен, защищенный SPF, менее привлекателен для спамеров и фишеров. Поскольку домен, защищенный SPF, менее привлекателен в качестве поддельного адреса, он с меньшей вероятностью попадет в черный список спам-фильтрами, и, в конечном итоге, легитимная электронная почта от домена с большей вероятностью пройдет. [4]
Мне удалось сообщить о ссылке и успешно закрыть эту конкретную кампанию, но каждый день отправляются сотни тысяч спам-писем, и все больше людей попадают в мошенничество. Такие люди, как я, мало что могут сделать. Я надеюсь, что больше организаций действительно серьезно отнесутся к информационной безопасности.
В настоящее время я работаю руководителем отдела цифровой безопасности в CcHub и работаю над проектом Osiwa, чтобы помочь ОГО, журналистам, активным гражданам и блоггерам защитить себя от угроз цифровой безопасности.
Если вы найдете эту статью интересной, нажмите ♥, чтобы другие тоже могли ею насладиться, и вы можете написать в Твиттере @olufuwatayo или написать мне на olufuwa.tayo (gmail.com)