Phishing web lokacije sada koriste chat botove za krađu akreditiva

Phishing napadi sada koriste automatizovane chat robote da vode posetioce kroz proces predaje akreditiva za prijavu akterima pretnji.

Proces phishinga počinje emailom

Ovaj pristup automatizuje proces za napadače i daje osećaj legitimnosti posetiocima zlonamernih sajtova, pošto se chat botovi obično nalaze na web lokacijama za legitimne brendove. Ovaj novi razvoj u phishing napadima otkrili su istraživači u Trustwave-u. Proces phishinga počinje emailom u kojem se tvrdi da sadrži informacije o isporuci paketa, maskiranog kao DHL brend za isporuku. Klikom na dugme „Pratite naša uputstva“ u poruci, učitava se PDF fajl koja sadrži link ka sajtu za phishing. Akteri pretnji prikazuju phishing link u PDF dokumentu da bi zaobišli softver za bezbednost emaila. Međutim, URL dugme (ili link) u PDF-u vodi žrtvu na sajt za krađu identiteta (dhiparcel-management[.]support-livechat[.]24mhd[.]com) gde bi trebalo da reše probleme koji uzrokuju da paket nije moguće isporučiti. Ovde čet-bot preuzima kontrolu. Kada se stranica za krađu identiteta učita, posetioce dočekuje web chat sa objašnjenjem zašto paket nije mogao da bude isporučen, umesto da im se prikaže lažni obrazac za prijavu koji se obično koristi za krađu akreditiva.

Ovaj web-chat objašnjava da je nalepnica paketa oštećena, što sprečava njegovu isporuku. Web chat takođe prikazuje fotografiju navodnog paketa kako bi prevari dodali više legitimiteta. Virtuelni asistent nudi unapred definisane odgovore za posetioca, tako da je razgovor fiksiran, uvek vodi do prikazivanja fotografije navodnog paketa sa oštećenom etiketom. Zbog ovog problema, chatbot traži od žrtve da da svoje lične podatke kao što su kućna ili poslovna adresa, puno ime, broj telefona itd.

Nakon toga, isporuka je navodno zakazana, a lažni CAPTCHA korak se prikazuje da deluje kao još jedno lažno slanje legitimiteta na phishing stranicu. Zatim se žrtva preusmerava na phishing stranicu koja zahteva unošenje akreditiva DHL naloga i na kraju, što vodi do koraka plaćanja, navodno da bi se pokrili troškovi slanja. Poslednja stranica „Secure pay“ sadrži tipična polja za plaćanje kreditnom karticom, uključujući ime vlasnika kartice, broj kartice, datum isteka i CVV kod. Kada se unesu detalji i klikne na dugme „Pay now“, žrtva dobija jednokratnu lozinku (OTP) na navedeni broj mobilnog telefona putem SMS-a, što doprinosi osećaju legitimnosti. Analitičari kompanije Trustwave testirali su unošenje nasumičnih znakova, a sistem je vratio grešku o nevažećem sigurnosnom kodu, tako da je implementacija OTP verifikacije stvarna. Ako se unese tačan kod, lažna stranica prikazuje “Thank you!” poruku i potvrđuje da je podnesak primljen.

Akteri pretnji sve više koriste mehanizme koji se generalno nalaze na pravim web lokacijama, kao što su CAPTCHA, OTP-ovi, a sada čak i chatbotovi, što otežava žrtvama da uoče pokušaje krađe njihovih informacija. Ovo zahteva veću opreznost kada primate neželjenu komunikaciju koja zahteva vašu hitnu akciju, posebno ako ove poruke sadrže ugrađena dugmad i URL linkove. Ako DHL ili bilo koja druga usluga dostave zahteva vašu akciju, uvek bi trebalo da otvorite stvarnu web lokaciju na novom browser tabu umesto da kliknete na link. Zatim se prijavite na svoj nalog na pouzdanoj platformi i proverite da li postoje stavke ili upozorenja na čekanju. Alternativno, sami se obratite agentu za korisničku podršku. Kao i uvek, najbolji način da uočite phishing stranicu je da ispitate URL za web lokaciju. Ako izgleda sumnjivo ili se ne podudara sa legitimnim domenom, nemojte unositi nikakve lične podatke na stranicu. U ovom slučaju, lažna DHL URL adresa završava se domenom „24mhd.com“, što očigledno nije DHL web lokacija i jasan je znak pokušaja krađe identiteta.

Izvor: Bleepingcomputer