СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
13 марта
#ИБ

Фишинг от имени United Healthcare: IPv6‑ссылки воруют PII и карты

Кампания фишинга, в которой злоумышленники маскируются под United Healthcare, использует заманчивые предложения бесплатных товаров — например, зубной щетки Oral-B — чтобы вынудить получателей перейти по мошенническим ссылкам. Сообщения нацелены на сбор конфиденциальной информации и реквизитов банковских карт под предлогом подтверждения соответствия требованиям или оплаты доставки.

Как работает атака

По имеющемуся отчёту, схема развивается по следующему сценарию:

  • Жертве приходит электронное письмо с предложением бесплатного товара и призывом «подтвердить» данные.
  • В письме — ссылка на фальшивую целевую страницу, замаскированную под официальный ресурс.
  • На целевой странице запрашивают личные данные (PII) и реквизиты платежной карты, якобы для оплаты доставки или проверки соответствия.

«Основная цель этих ссылок — собрать личную информацию (PII) вместе с реквизитами платежной карты».

Эволюция тактики: IPv6 и смена хостов

Ранее злоумышленники часто использовали ссылки на хранилища больших двоичных объектов Microsoft Azure. Сейчас наблюдается переход на ссылки с адресами IPv6, что:

  • помогает замаскировать вредоносный умысел URL-адресов;
  • затрудняет автоматическое обнаружение и блокировку;
  • в совокупности с быстрой сменой целевых страниц повышает устойчивость кампании к мерам безопасности.

Последствия для пострадавших

Конечная цель злоумышленников — компрометация финансовой информации. Успешная атака может привести к несанкционированным списаниям, утечке PII и дальнейшему использованию данных для мошенничества.

Что нужно делать, если вы получили такое письмо или ввели данные

Эксперты рекомендуют выполнить следующие шаги немедленно:

  • Аннулировать карты, реквизиты которых могли быть переданы злоумышленникам.
  • Оспорить несанкционированные платежи в банке или эмитенте карты.
  • Изменить пароли на всех учетных записях, связанных с указанным адресом эл. почты.
  • Провести проверки безопасности на устройствах — сканирование актуальными решениями для защиты от вредоносного ПО.
  • Обновить устройства и программное обеспечение до последних версий.
  • При возможности включить многофакторную аутентификацию (MFA) для критичных сервисов.

Рекомендации по предотвращению подобных атак

Для снижения риска заражения и утечки данных следует:

  • не переходить по подозрительным ссылкам и не вводить данные на страницах, пришедших по электронной почте;
  • проверять домен отправителя и URL целевой страницы — поддельные страницы часто используют нетипичные IP-адреса или странные домены;
  • использовать антивирусные и EDR-решения с защитой в реальном времени, которые способны обнаруживать и блокировать вредоносные действия онлайн;
  • обучать сотрудников и пользователей признакам фишинга — быстрые смены целевых страниц и новые трюки злоумышленников требуют повышенной бдительности.

Вывод

Меняющаяся тактика злоумышленников — от использования Microsoft Azure до ссылок с адресами IPv6 и быстрой смены целевых страниц — делает фишинговые кампании более устойчивыми и опасными. Пользователям и организациям следует сохранять бдительность, немедленно реагировать на возможные компрометации и внедрять современные меры кибербезопасности для защиты PII и финансовой информации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: