Фишинговая кампания против пользователей WordPress: поддельные платежи и утечка OTP
Коротко: расследование в области кибербезопасности выявило масштабную кампанию фишинга, направленную на пользователей WordPress. Злоумышленники рассылают мошеннические письма о якобы грядущем продлении домена, перенаправляют жертв на поддельный платежный портал и тайно отправляют похищенные данные через Telegram.
Суть атаки
Жертве приходит электронное письмо, оформленное под официальную корреспонденцию от WordPress.com, в котором утверждается о скором истечении срока действия домена и необходимости сделать платеж, чтобы избежать перебоев в обслуживании. Письмо специально построено так, чтобы создать ощущение срочности и спровоцировать немедленное действие.
При переходе по ссылке пользователь попадает на поддельный платежный портал, размещённый на серверах, контролируемых злоумышленниками. Там у жертвы запрашивают данные кредитной карты и одноразовые пароли (OTP) для 3‑D Secure. Собранные данные затем эксфильтруются с использованием скрытого механизма — через сообщения в Telegram, что делает атаку труднее обнаруживаемой.
Как работает схема (по шагам)
- Рассылка фишинговых писем с имитацией внешнего вида сообщений от WordPress.com и с настойчивой формулировкой о срочности.
- Переход по ссылке на поддельный платежный сайт, визуально похожий на легитимный.
- Запрос конфиденциальной финансовой информации — номер карты, CVV, срок действия и OTP для 3‑D Secure.
- Тайная передача собранных данных злоумышленникам через платформу Telegram.
- Дальнейшее использование данных для нелегальных списаний и компрометации связанных сервисов доменной инфраструктуры.
Почему это опасно
Атака угрожает не только финансовым потерям отдельных пользователей, но и целостности услуг, связанных с доменами на платформе WordPress. Похищенные данные карт и OTP позволяют злоумышленникам проводить незаметные транзакции и обходить механизмы защиты платежей.
Использование Telegram для эксфильтрации усложняет расследование и повышает устойчивость злоумышленников к блокировкам и перехвату трафика.
Признаки фишинга, на которые стоит обращать внимание
- Письмо требует срочно оплатить услугу и угрожает немедленными последствиями.
- Адрес отправителя или домен ссылки не совпадают с официальными доменами WordPress.com.
- Письмо содержит грамматические ошибки или нетипичные для официальной поддержки формулировки.
- Сайт запрашивает OTP/пароль в контексте платежа — особенно если это сопровождается нестандартными редиректами.
- Запрос информации, которую сервис обычно не просит по электронной почте (полные данные карты, CVV, OTP).
Рекомендации пользователям
- Не переходите по ссылкам из подозрительных писем. Входите в аккаунт через официальный сайт вручную (в адресной строке браузера).
- Проверяйте домен ссылки — убедитесь, что это именно wordpress.com (без дополнительных поддоменов или похожих замен в имени).
- Никогда не вводите OTP или полные данные карты на сайтах, пришедших по ссылке из письма.
- Включите двухфакторную аутентификацию (2FA) для аккаунта и используйте надежные пароли.
- При малейших сомнениях свяжитесь с официальной поддержкой WordPress.com через проверенные каналы.
- Сообщайте о фишинговых письмах вашему почтовому провайдеру и блокируйте отправителя.
- Проверяйте выписки по картам и при подозрительных списаниях немедленно связывайтесь с банком.
Вывод
Расследование подчёркивает, что злоумышленники продолжают активно использовать социальную инженерию и подделку интерфейсов для кражи финансовой информации. Внимательность и соблюдение простых правил безопасности при работе с письмами о платежах и продлениях доменов остаются ключевыми мерами защиты.
«Эта кампания подчеркивает важность бдительности в отношении попыток фишинга и необходимость проверки пользователями подлинности сообщений, касающихся их учетных записей или сервисов.»
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
