O campanie de pescuit denumită ‘Phish n’ Ships’ este în desfășurare cel puțin din 2019, infectând peste o mie de magazine online legitime pentru a promova listări de produse false pentru articole greu de găsit.
Utilizatorii nevinovați care dau clic pe acele produse sunt redirecționați către o rețea de sute de magazine web false care le fură detaliile personale și banii fără a livra nimic.
Potrivit echipei de Intelligence a Threat Intelligence HUMAN care a descoperit Phish n’ Ships, campania a afectat sute de mii de consumatori, provocând pierderi estimate de zeci de milioane de dolari.
Atacul începe prin infectarea site-urilor legitime cu scripturi malitioase prin exploatarea vulnerabilităților cunoscute, configurații greșite sau acreditări de administrator compromise.
Odată ce un site este compromis, actorii amenințării încarcă scripturi cu nume discret precum ‘zenb.php’ și ‘khyo.php’, cu ajutorul cărora încarcă listări false de produse.
Aceste produse sunt complete cu metadate optimizate pentru SEO pentru a-și spori vizibilitatea în rezultatele căutării Google, de unde pot fi atrase victimele.
Când victimele dau clic pe aceste linkuri, sunt redirecționate printr-o serie de pași care duc în cele din urmă către site-uri frauduloase, adesea imitând interfața magazinului online compromis sau folosind un design similar.
Toate aceste magazine false sunt conectate la o rețea de paisprezece adrese IP, conform cercetătorilor Satori, și toate conțin un șir particular în URL care le face identificabile.
Încercarea de a achiziționa produsul de pe magazinul fals îi duce pe victime printr-un proces de plată fals conceput pentru a părea legitim, dar care nu include nicio verificare a datelor, un semn al unui posibil fraudă.
Site-urile malitioase fură informațiile pe care victimele le introduc în câmpurile de comandă, inclusiv detaliile cardului lor de credit, și finalizează plata folosind un cont de procesare a plăților semi-legitim controlat de atacator.
Produsul achiziționat nu este niciodată livrat cumpărătorului, astfel că victimele pierd atât banii, cât și datele.
Satori a constatat că pe parcursul celor cinci ani în care Phish n’ Ships a fost activ, actorii amenințării au abuzat de mai mulți furnizori de plăți pentru a scoate profiturile din escrocherie.
Mai recent, aceștia s-au adaptat pentru a implementa un mecanism de plată pe unele dintre site-urile false de e-commerce pentru a putea fura direct detaliile cardului de credit ale victimei.
HUMAN și partenerii săi au coordonat o reacție la Phish n’ Ships, informat mulți dintre organizațiile afectate și raportând listările false către Google pentru a fi eliminate.
Până în prezent, cele mai multe rezultate de căutare malitioase au fost curățate, iar aproape toate magazinele identificate au fost scoase offline.
De asemenea, procesatorii de plăți care au facilitat retragerile pentru escroci au fost informați corespunzător și au eliminat conturile ofensatoare de pe platformele lor, perturbând semnificativ capacitatea actorilor amenințării de a genera profit.
Cu toate acestea, actorii amenințării se pot adapta la această perturbare. Deși Satori continuă monitorizarea activității pentru posibile reapariții, este puțin probabil ca aceștia să renunțe și să nu încerce să stabilească o nouă rețea de fraudare a cumpărătorilor.
Consumatorilor li se recomandă să fie atenți la redirecționările neobișnuite când navighează pe platformele de e-commerce, să valideze că se află pe URL-ul corect al magazinului atunci când încearcă să cumpere un articol și să raporteze încărcările frauduloase băncii lor și autorităților cât mai curând posibil.
Leave a Reply