Фишинг под Coca-Cola и Ferrari атакует соискателей

Недавние phishing-campaigns, нацеленные на людей, ищущих работу, становятся все более изощренными. Злоумышленники используют известные бренды, в том числе Coca-Cola и Ferrari, чтобы повысить доверие к поддельным сайтам и выманить учетные данные, а в отдельных случаях — обойти MFA.

Как работает схема под брендом Coca-Cola

Первая афера, выдающая себя за Coca-Cola, начинается с убедительной страницы бронирования. На ней у жертвы запрашивают личную информацию, после чего происходит перенаправление на поддельную страницу входа в Google account, оформленную внутри имитированного окна браузера Chrome.

Особенность этой схемы заключается не только в сборе учетных данных. Набор для phishing передает введенную информацию в режиме реального времени на внутренний сервер злоумышленников, который используется для обхода Multi-Factor Authentication (MFA). После ввода данных phishing kit каждые несколько секунд запрашивает инструкции у сервера атакующих, подстраивая сценарий под этапы аутентификации при реальном входе в Google.

Дополнительным ограничением схемы становится использование только адресов, не относящихся к @gmail.com. Таким образом мошенники целенаправленно выбирают корпоративные Google Workspace accounts, поскольку они дают доступ к внутренним ресурсам компаний и представляют для атакующих наибольшую ценность.

Ferrari-кампания: сбор данных через поддельный OAuth-механизм

Аналогичная phishing-campaign, маскирующаяся под Ferrari, использует механизм, похожий на OAuth, чтобы собирать учетные данные Facebook (социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta). Жертвам предлагается либо войти через Facebook, либо напрямую ввести адрес электронной почты. В обоих случаях они попадают на поддельную страницу входа, созданную для перехвата логинов без лишних подозрений.

Подобная схема выглядит правдоподобно, поскольку многие legitimate job portals действительно позволяют авторизацию через social networks. Именно это делает атаку особенно убедительной для соискателей, привыкших к такому способу входа.

В этой версии мошенничества нет продвинутых методов обхода MFA, однако собранные данные могут быть использованы для дальнейших атак. В частности, злоумышленники получают доступ к личной информации и контактам жертв, что открывает путь к последующим scam-campaigns.

Почему соискатели стали главной целью

Текущая ситуация на рынке труда создала благоприятную среду для мошенников. Рост числа увольнений и усилившаяся конкуренция за рабочие места делают соискателей более уязвимыми. Срочность, тревога и желание быстрее пройти этапы отбора снижают критичность восприятия и повышают вероятность того, что человек выполнит даже нестандартные действия, включая дополнительные шаги аутентификации.

Именно на это и рассчитывают злоумышленники: чем больше давление на кандидата, тем выше шанс, что он не заметит подмену.

Что важно помнить

Эксперты предупреждают: phishing-kit’ы быстро развиваются и все точнее имитируют legitimate platforms. Поэтому пользователям стоит сохранять бдительность и особенно настороженно относиться к неожиданным запросам на вход в аккаунт или дополнительную аутентификацию.

• Проверять, откуда пришло приглашение на job portal или screening page.
• Не вводить учетные данные на страницах, вызывающих сомнения.
• Особенно внимательно относиться к окнам входа, имитирующим Chrome или другие браузеры.
• Не игнорировать несоответствия в адресе сайта, форме авторизации и логике входа.

В условиях, когда phishing-campaigns становятся все более правдоподобными, осторожность остается главным способом защиты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.