O rețea de fraudă motivată financiar, numită ‘SilkSpecter’, folosește mii de magazine online false pentru a fura detaliile cardurilor de plată ale cumpărătorilor online din SUA și Europa.
Campania de fraudă a început în octombrie 2024, oferind reduceri semnificative pentru perioada de cumpărături de Black Friday care obișnuită să atragă o activitate crescută de cumpărături.
Cercetătorul de amenințări de la EclecticIQ, Arda Buyukkaya, care a descoperit campania, a declarat pentru BleepingComputer că, la momentul publicării raportului lor, SilkSpecter operează 4.695 de domenii frauduloase.
Aceste site-uri se fac drept branduri cunoscute precum North Face, Lidl, Bath & Body Works, L.L. Bean, Wayfair, Makita, IKEA și Gardena.
În multe cazuri, numele de domeniu folosite în campanie includ șirul ‘Black Friday’, vizează în mod clar cumpărătorii online în căutare de oferte cu reduceri.
Site-urile SilkSpecter sunt bine concepute și, de obicei, denumite după brandul impersonat pentru a părea autentice la o privire rapidă. Cu toate acestea, site-urile lor folosesc de obicei domenii de nivel superior precum ‘.shop’, ‘.store’, ‘.vip’ și ‘.top’, care nu sunt în mod normal asociate cu branduri mari sau site-uri de comerț electronic de încredere.
În funcție de locația victimelor, site-ul folosește Google Translate pentru a ajusta automat limba de pe site-urile frauduloase în consecință.
Site-urile de phishing integrează Stripe, un procesor de plată legitim și de încredere, ceea ce adaugă la legitimitatea site-ului, permițându-le totuși să fure informațiile cardului de credit.
SilkSpecter folosește, de asemenea, instrumente de monitorizare precum OpenReplay, TikTok Pixel și Meta Pixel pe site-uri. Aceste instrumente îi ajută să monitorizeze comportamentul vizitatorilor și, posibil, să-și ajusteze tactica pentru a crește eficacitatea operațiunii.
Când utilizatorii încearcă să cumpere de pe acele site-uri, sunt redirecționați către o pagină de plată care îi îndeamnă să introducă numărul cardului lor de credit/debit, data de expirare și codul CVV. La pasul final, li se cere și un număr de telefon.
În afară de a fura banii pentru comandă prin abuzarea serviciului Stripe, kitul de phishing trimite și detaliile cardului introduse către un server controlat de atacator.
EclecticIQ crede că numărul de telefon este furat pentru a fi folosit mai târziu în atacuri de phishing vocal sau SMS necesare pentru manipularea prompturilor de autentificare cu doi factori (2FA) atunci când se exploatează datele cardului de plată.
Se crede că SilkSpecter este de origine chineză, pe baza utilizării lor de adrese IP și ASN-uri chineze, registrare de domenii chineze, dovezi lingvistice în codul site-urilor și utilizarea anterioară a platformei chineze Software as a Service (SaaS) numită ‘oemapps’ (înainte de Stripe).
Cumpărătorilor de Black Friday li se recomandă să viziteze doar site-urile oficiale ale brandurilor și să evite clicurile pe anunțuri, linkuri din postările de pe rețelele de socializare sau rezultatele promovate în căutările Google.
În cele din urmă, deținătorii de carduri ar trebui să activeze toate măsurile de protecție disponibile pe conturile lor financiare, inclusiv autentificarea cu mai mulți factori, și să-și monitorizeze regulat extrasele de cont.
Peste o mie de magazine online au fost sparte pentru a afișa listări false de produse
Microsoft Exchange adaugă avertisment în e-mailurile care abuzează de defectul de spoofing
HIBP notifică 57 de milioane de persoane despre violarea datelor de la Hot Topic
Escrocii vizează cetățenii seniori din UK cu mesaje privind plata de combustibil pentru iarnă
Hackerii folosesc acum concatenarea de fișiere ZIP pentru a evita detectarea
Leave a Reply