В останні пару тижнів розпочалася нова фішингова кампанія, націлена на німецьких користувачів електронного банкінгу. Зловмисники застосовують QR-коди для отримання облікових даних. Хакери використовують низку хитрощів, щоб обійти захисні рішення і переконати своїх потенційних жертв відкрити повідомлення та дотримуватися інструкцій. Раніше Pingvin Pro повідомляв про схему з використанням QR-кодів, яка діє в Україні. А також про підробні коди у транспорті.
Фішингові електронні листи ретельно продумані, містять логотипи банків, добре структурований контент та, як правило, єдиний стиль. Їхні теми відрізняються: від прохання дати згоду на зміну політики даних, що впроваджується банком, до запиту на перегляд нових процедур безпеки. Такий підхід є ознакою ретельного планування, при якому учасники не роблять типових перебільшених заяв про зламування облікового запису та не ставлять користувача в небезпечну ситуацію.
При натисканні вбудованої кнопки, жертва потрапляє на фішинговий сайт після проходження через проксі-службу каналів Google FeedBurner. Крім того, суб’єкти реєструють власні домени, які використовуються для цих перенаправлень, а також для самих фішингових сайтів. Цей додатковий крок спрямований на те, щоб обдурити рішення електронної пошти та інтернет-безпеки. Домени є нещодавно зареєстрованими сайтами на російському реєстраторі REG.RU і мають стандартну структуру URL залежно від цільового банку.
QR-коди містять перехід на фішинговий сайт
В останніх фішингових кампаніях зловмисники використовували QR-коди замість кнопок, щоб перенаправити жертв на фішингові сайти. Ці електронні листи не містять URL-адрес у вигляді відкритого тексту. Натомість заплутують за допомогою QR-кодів, що ускладнює їхнє виявлення антивірусним забезпеченням.
QR-коди стали ефективнішими, оскільки вони націлені на мобільних користувачів, які з меншою ймовірністю будуть захищені інструментами інтернет-безпеки. Після того, як жертва потрапляє на фішинговий сайт, їй пропонується ввести місцезнаходження свого банку, код, ім’я користувача та PIN-код. Якщо ці дані вводяться на фішинговій сторінці, користувач очікує перевірки, а потім йому пропонується знову ввести свої облікові дані через їхню неправильність.
Незалежно від того, наскільки законним може виглядати електронний лист, вам слід уникати натискання кнопок, URL-адрес або навіть QR-кодів, які перемістять вас на зовнішній сайт. Щоразу, коли вас просять ввести облікові дані вашого облікового запису, не забувайте спочатку перевіряти домен, на якому ви перебуваєте, перш ніж починати вводити текст.