Данные отчета Check Point Research о тех брендах, которые наиболее часто используются в фишинговых атаках за первый квартал 2020
Когда нам говорят о фишинговых атаках, нам кажется, что нас никогда это не коснется. К сожалению, мы все делаем ошибки, поэтому от этого никто не застрахован.
Отчет Verizon за 2019 год о расследовании утечек данных показал, что почти треть (32%) утечек данных связана с фишингом. Фишинговые атаки присутствовали в 78% случаев кибершпионажа, а также при установке и использовании бэкдоров в сетях. Все это говорит о том, что фишинг остается одним из главных оружий в арсеналах киберпреступников. Сейчас они пытаются узнать личную информацию пользователей, выдавая себя за известные бренды.
Когда злоумышленники имитируют официальный сайт известного бренда с использованием аналогичного домена или URL-адреса –– это фишинг бренда. Ссылка на фишинговый сайт может содержаться в электронном письме, СМС. На подобные фейковые сайты пользователь может быть перенаправлен во время просмотра других сайтов, из вредоносного мобильного приложения. Как правило, фишинговые сайты содержат форму, предназначенную для сбора и кражи учетных данных, личной или платежной информации пользователя.
Отчет команды Check Point Research о тех брендах, которые наиболее часто используются в фишинговых атаках за первый квартал 2020, показал, что чаще всего злоумышленники подделывали письма от корпорации Apple. В этом рейтинге корпорация поднялась с 7-го места (2% всех попыток фишинга в мире в 4 квартале 2019 года) на первое место. Отчасти это было связано с ожидаемым запуском новых Apple Watch: злоумышленники использовали ажиотаж вокруг этой темы для фишинговых атак.
В первом квартале 2020 года мобильный фишинг был на втором месте среди самых распространенных векторов атак. В предыдущем периоде, в четвертом квартале 2019 года, он занимал третье место. Это может быть связано с пандемией коронавируса, которая заставляет людей чаще использовать свои смартфоны для работы. Бренды, которые часто используются как в web, так и в мобильной версии (например, Netflix и PayPal) и чья популярность возросла из-за пандемии, показывают схожие результаты в рейтингах.
На приведенных ниже примерах видно серию фишинговых кампаний, в которых злоумышленники эксплуатируют известные бренды (Chase, Netflix и прочие) для получения прибыли.
В течение первого квартала 2020 года одни и те же бренды использовались как в web-фишинге, так и мобильном фишинге. Например, это были банковские и потоковые сервисы, такие как Chase и Netflix. Атаки через сайты были наиболее распространены (59%). На втором месте стоит мобильный фишинг.
Электронная почта (18% атак)
- Yahoo
- Microsoft
- Outlook
- Amazon
Интернет (59% атак)
- Apple
- Netflix
- PayPal
- eBay
Смартфоны (23% атак)
- Netflix
- Apple
- Chase
Отрасли, бренды которых наиболее часто эксплуатировали:
- Технологии
- Банки
- СМИ
В течение первого квартала команда Check Point Research отмечала появление десятков мошеннических сайтов, которые пытались имитировать банковские страницы со входом в личный кабинет. Например, сайты (такие же, как сайт ниже) имитировали страницу банка Chase для кражи личных данных пользователей: www.chasecovid19s\.com/home/myaccount/access\.php . Впервые этот сайт был активен в марте 2020 года и зарегистрирован под IP — 23.229.221.103, который расположен в Соединенных Штатах.
Согласно исследованию, злоумышленник использовал несколько похожих мошеннических доменов, таких как: chasecovid19v \ .com, chasecovid19t \ .com
В марте исследователи Check Point Research заметили мошеннический сайт, который пытался имитировать страницу входа в Airbnb. Предположительно, злоумышленники планировали якобы предоставлять обновления, касающиеся службы Airbnb. Веб-сайт: hxxps: //airbnb.id-covid19 \ .com / update / login \ .php Домен зарегистрирован под российским IP – адресом: 91.210.107.54.
В середине февраля команда Check Point Research заметила, что URL-адрес mastriapaypal \ ¬.com (зарегистрирован: 2020-02-03 и размещен на этом IP-адресе — 216.239.38.21) перенаправляет пользователей на страницу входа в Unicredit Bank на болгарском языке по указанному ниже URL-адресу:
ghlinkup¬\.¬com/wp-content/plugins/wp-component/wp-com/img/js/pp/ -––домен размещен на этом IP-адресе: 198.54.120.52.
В конце марта исследователи заметили, что домен yahoo-mask \ .com предлагал маски для лица японцам через, казалось бы, Yahoo Japan.
Домен расположен на этом IP-адресе: 45.34.181.228. Был зарегистрирован по адресу электронной почты: tepjfotx198686@yahoo.co.jp
В феврале исследователи команды Check Point Research заметили, что адрес электронной почты \ .whatsapp \ .vvipx9 \ .com / login.php представляет мошенническую страницу веб-входа WhatsApp на индонезийском языке, которая запрашивает учетные данные Facebook для подключения. Домен размещен на этом IP-адресе 5.189.170.134.
Чтобы не стать жертвой подобных мошенничеств, необходимо соблюдать базовые правила безопасности:
- Убедитесь, что вы используете оригинальный веб-сайт. Не нажимайте на ссылки в рекламных рассылках электронной почты –– лучше самостоятельно того искать в Google нужного вам продавца и кликать ссылку на странице поиска Google.
- Остерегайтесь «специальных» предложений. Скидка 80% на новый iPhone обычно не заслуживает доверия.
- Обращайте внимание на адрес доменов, отправителей электронных писем, орфографические ошибки в электронных письмах и на сайтах.