Фишинг-мошенничество Ситибанка пытается извлечь личную информацию
Еще одна фишинговая афера, нацеленная на клиентов Ситибанка, недавно проходила в обход. Он был обнаружен исследователем, работавшим с ручкой Twitter MalwareHunterTeam, и новостной сайт по кибербезопасности BleepingComputer также сообщил об этом. MalwareHunterTeam объявил в Твиттере, что страница теперь удалена, но изучение мошенничества все еще может быть полезным, поскольку оно даст нам представление о хитрых методах, которые фишеры используют в настоящее время, а также может показать нам, какие ошибки они сделать. В этой конкретной кампании было много умных функций и несколько ошибок.
К сожалению, мы не знаем, кто организовал атаку, и мы понятия не имеем, какие уловки социальной инженерии они использовали, чтобы заманить жертв на фишинговую страницу. Скорее всего, мошенничество начинается с электронной почты, но другие приемы также использовались в прошлом. Что мы знаем, так это то, что фишинговая страница раньше размещалась на update-citi [.] Com и что она выглядела довольно убедительно.
Table of Contents
Фишинговая кампания, которая собирает тонну личной информации
Скриншоты, которые MalwareHunterTeam поделился в Twitter, показывают, что люди, которые влюбились в мошенничество, прошли немало шагов. Во-первых, конечно, это поддельная страница входа в систему, которая запрашивает у жертвы имя пользователя и пароль для своего банковского счета. Однако при передаче учетных данных вредоносная страница не прекращает запрашивать информацию.
Пострадавшего просят заполнить форму с указанием его имени, даты рождения, физического адреса и последних четырех цифр номера социального страхования. После этого им нужно ввести данные своей банковской карты в другую форму. Как только это будет сделано, страница сообщает им, что пытается их аутентифицировать - процесс, который может занять до минуты.
На самом деле, никто не совсем уверен, что происходит в этот период, но исследователи предполагают, что, пока жертва ожидает «аутентификации», мошенники пытаются использовать предоставленные учетные данные для входа в свою учетную запись. Конечно, они не могут немедленно скомпрометировать учетные записи клиентов, которые включили двухфакторную аутентификацию (2FA), но это не остановит их от попыток.
Ситибанк обнаруживает попытку входа в систему, и жертва получает одноразовый PIN-код (OTP) в виде SMS. Примерно через минуту фишинговая страница запрашивает OTP, как Ситибанк. Поскольку они думают, что входят в нужное место, клиент передает его и перенаправляет на настоящий сайт Ситибанка. Между тем, фишеры располагают всей информацией, необходимой для взлома учетной записи пользователя.
Умные черты
Наиболее примечательным в этой кампании является тот факт, что она пытается обойти систему 2FA Ситибанка. Двухфакторная аутентификация часто считается единственной надеждой пользователя в сценарии фишинга, но в этом случае мошенникам удалось договориться об этом довольно убедительным образом.
Они сделали фишинговую страницу похожей на реальную сделку. Логотипы и шрифты выглядят оригинально, а их макет очень похож на онлайн-портал Ситибанка. Фишеры также установили SSL-сертификат на странице, что означало, что браузеры отображали значок блокировки в адресной строке. В течение многих лет замок был ненадежным в качестве признака легитимности веб-сайта, но некоторые люди продолжают думать, что он может гарантировать их безопасность.
Как вы можете видеть, фишинговая команда, которая начала атаку, решила не останавливаться на данных для входа в систему и попросить у жертв довольно много других личных и финансовых подробностей. Это означает, что даже после того, как клиент поймет, что его обманули, и защитит свою учетную запись, у фишеров останется достаточно информации для кражи личных данных.
Следует, однако, сказать, что эта стратегия «за копейки, за фунт» может иметь неприятные последствия, если потенциальная жертва будет более осторожна, кому они передают свои данные.
Ошибки
Тот факт, что мы не знаем, как начинается настоящая атака, означает, что у нас нет всей системы социальной инженерии. Как бы то ни было, Ситибанк вряд ли будет запрашивать личную информацию существующих клиентов, и еще менее вероятно, что он запросит данные выданных им кредитных карт. Если вы помните об этом, у вас больше шансов осознать, что что-то не так, и нажать кнопку «Закрыть», пока не стало слишком поздно.
Более внимательные пользователи также заметят грамматические и типографские ошибки, которые можно увидеть почти на каждой странице. Ирония в том, что мошенники продолжают вкладывать все больше времени и усилий в техническую сторону своих кампаний, но, похоже, они не хотят вкладывать средства в несколько уроков грамматики. Уровень письменного английского языка среднего фишера настолько низок, что опечатки и неуклюжие фразы теперь являются довольно надежным показателем мошенничества. Однако они не так надежны, как URL.
Действительно, каждую успешную фишинговую атаку можно предотвратить, уделив немного больше внимания адресной строке. Многие уже научились искать зеленый значок висячего замка, но недостаточно обращают внимание на сам домен. У фишеров есть тактика, называемая typosquatting, которая включает использование доменов, которые выглядят очень похоже на реальные, но даже этого будет недостаточно, чтобы обмануть вас, если вы будете осторожны.
Фишинг - это простая форма киберпреступности, а защита себя не требует каких-либо особенно сложных инструментов или методов. В конце концов, быть осторожным и потратить секунду, чтобы убедиться, что все в порядке, может означать разницу между передачей ваших данных и сохранностью в безопасности.
