Международная фишинговая кампания доставляет жертвам проблемы из разных стран.
За последние недели число фишинговых атак, нацеленных на клиентов Почтовой службы США (U.S. Postal Service, USPS), значительно возросло. Расследование KrebsOnSecurity показало, что злоумышленники организовали обширную смишинговую кампанию (смишинг) с целью кражи личных и финансовых данных, имитируя сайт USPS и почтовые службы по меньшей мере 12 стран.
Ресурс KrebsOnSecurity сообщил о случае, когда один из пользователей получил SMS, якобы от USPS, с уведомлением о проблеме с посылкой, адресованной на его имя. Переход по ссылке в сообщении привёл на домен «usps.informedtrck[.]com».
Фишинговый сайт содержит логотип USPS и сообщение о том, что посылка не может быть доставлена из-за неверного адреса получателя. Жертве предлагается исправить данные по ссылке. После перехода по ссылке посетитель попадает на страницу, где запрашивается больше информации.
Остальные ссылки на фишинговой странице ведут на официальный сайт USPS. После сбора информации об адресе, поддельный сайт USPS требует ввести дополнительные личные и финансовые данные.
Домен фишингового сайта был зарегистрирован недавно, и его записи WHOIS практически отсутствуют. Однако, анализ страницы с помощью инструментов разработчика в браузерах позволяет найти улики, подтверждающие масштабы операции.
Обнаруженные связи между ссылками на фишинговых сайтах
Анализ домена показал связь с рядом других доменов, имитирующих USPS. Все они ведут к сайтам, специально созданным для кражи данных пользователей. Расследование показало, что многие из вредоносных доменов были зарегистрированы через платформу Alibaba.com, причем указанное место регистрации — «Georgia, AL» не существует на самом деле.
Поиск по доменам, зарегистрированным через Alibaba с указанным местом, выявил почти 300 недавно созданных фишинговых сайтов, имитирующих почтовые службы различных стран, в том числе Австралия, Ирландия, Испания, Коста-Рика, Чили, Мексика, Италия, Нидерланды, Дания, Норвегия, Швеция и Финляндия.
Одним из инцидентов стала попытка фишинга через имитацию сайта «usps.receivepost[.]com», данные с которого отправлялись через Telegram-бота пользователю «@chenlun», который выставил на продажу готовый исходный код для создания фишинговых страниц.
Профиль @chenlun с рекламой кода
Специалисты акцентируют внимание на опасности угрозы, подчеркивая необходимость повышения уровня образованности пользователей в области кибербезопасности и внедрения дополнительных мер защиты со стороны почтовых служб. Важно, чтобы клиенты были в курсе потенциальных угроз и осознавали риски, связанные с обработкой личной информации в интернете. На фоне надвигающегося сезона праздничных покупок каждый из нас должен проявить бдительность, чтобы избежать возможных финансовых потерь и защитить свою конфиденциальную информацию от несанкционированного доступа.
Спойлер: мы раскрываем их любимые трюки