СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
9 июня
#Dev#ИБ#Инфра

SEO-фишинг на мобильных: кража данных и обход защиты

SEO-фишинг на мобильных: кража данных и обход защиты

Сложная SEO-атака на мобильные устройства: кража учетных данных и мошенничество с зарплатами

Недавнее расследование выявило масштабную и изощренную SEO-атаку, нацеленную на пользователей мобильных устройств, которая привела к краже учетных данных и мошенничеству с начислением заработной платы. Злоумышленники создали поддельные страницы входа в систему, искусно маскируясь под легитимные платежные порталы, и благодаря продвинутым SEO-техникам эти фальшивые сайты занимали высокие позиции в поисковых результатах.

Механизм атаки и роль мобильных устройств

Основным инструментом злоумышленников стали фишинговые порталы, которые сотрудники компании принимают за официальные сайты для управления выплатами заработной платы. Благодаря искусственной оптимизации SEO и использованию ключевых слов, связанных с расчетами зарплат, эти сайты появлялись в верхних строках поисковых выдач именно тогда, когда пользователи искали соответствующую информацию.

Особое внимание уделяется уязвимостям мобильных устройств сотрудников. Как правило, они подключаются вне корпоративной сети, используя незащищённые гостевые Wi-Fi, где отсутствуют такие меры безопасности, как ведение журналов и фильтрация трафика. Это существенно повысило эффективность атаки и позволило злоумышленникам обходить традиционные средства контроля безопасности.

Подробности фишинговой кампании

  • При заходе на фишинговую страницу жертва перенаправлялась на сайт WordPress, отображавшийся только на мобильных устройствах;
  • Сайт маскировался под портал для входа Microsoft, вводя в заблуждение пользователя;
  • Конфиденциальные данные сотрудников передавались через HTTP POST-запрос на сервер, контролируемый хакерами;
  • Обработка запросов происходила с помощью PHP-файла, что указывает на связь с предыдущими инцидентами одного и того же злоумышленника;
  • Использовался инструмент Pusher для получения уведомлений о краже учетных данных в режиме реального времени, что позволяло оперативно использовать украденные данные.

Технические нюансы и сложности обнаружения

Злоумышленники применяли быстро меняющиеся IP-адреса, получаемые через локальные маршрутизаторы, что существенно усложняло работу служб безопасности по отслеживанию и блокировке атак. Уязвимости в маршрутизаторах потребительского класса, часто связанные с их слабой конфигурацией, сыграли ключевую роль в обеспечении такого доступа.

Использование прокси-сетей, которые трудно отследить, позволяло хакерам выглядеть как легитимные пользователи. Такая маскировка создает серьёзные проблемы для организаций, поскольку вредоносный трафик сливается с обычным и обходят стандартные системы обнаружения подозрительной активности.

Рекомендации по снижению рисков

Для противодействия подобным угрозам эксперты рекомендуют организациям внедрять комплексный подход, включающий в себя:

  • Многофакторную аутентификацию (MFA) и политики условного доступа для конфиденциальных порталов;
  • Регулярный мониторинг изменений в системах управления заработной платой и прямым пополнением счёта;
  • Обучение персонала безопасным методам доступа и распознанию фишинговых схем;
  • Разработку и внедрение процессов быстрого реагирования на несанкционированные действия;
  • Превентивное обнаружение доменов, выдающих себя за легитимные сайты, для своевременной нейтрализации угроз.

Выводы

Этот случай подчеркивает, насколько быстро и изощрённо развиваются методы злоумышленников. Только постоянная бдительность и адаптация стратегий кибербезопасности помогут организациям защитить сотрудников и корпоративные данные от новых фишинговых кампаний и кражи учетных данных.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: