Какие бренды любят хакеры

Данные отчета Check Point Research о тех брендах, которые наиболее часто используются в фишинговых атаках за первый квартал 2020

Когда нам говорят о фишинговых атаках, нам кажется, что нас никогда это не коснется. К сожалению, мы все делаем ошибки, поэтому от этого никто не застрахован.

Отчет Verizon за 2019 год о расследовании утечек данных показал, что почти треть (32%) утечек данных связана с фишингом. Фишинговые атаки присутствовали в 78% случаев кибершпионажа, а также при установке и использовании бэкдоров в сетях. Все это говорит о том, что фишинг остается одним из главных оружий в арсеналах киберпреступников. Сейчас они  пытаются узнать личную информацию пользователей, выдавая себя за известные бренды.

Когда злоумышленники имитируют официальный сайт известного бренда с использованием аналогичного домена или URL-адреса –– это фишинг бренда.  Ссылка на фишинговый сайт может содержаться в электронном письме, СМС. На подобные фейковые сайты пользователь может быть перенаправлен во время просмотра других сайтов, из вредоносного мобильного приложения. Как правило, фишинговые сайты содержат форму, предназначенную для сбора и кражи учетных данных, личной или платежной информации пользователя.

Отчет команды Check Point Research о тех брендах, которые наиболее часто используются в фишинговых атаках за первый квартал 2020, показал, что чаще всего злоумышленники подделывали письма от корпорации Apple. В этом рейтинге корпорация поднялась с 7-го места (2% всех попыток фишинга в мире в 4 квартале 2019 года) на первое место. Отчасти это было связано с ожидаемым запуском новых Apple Watch: злоумышленники использовали ажиотаж вокруг этой темы для фишинговых атак.

В первом квартале 2020 года мобильный фишинг был на втором месте среди самых распространенных векторов атак. В предыдущем периоде, в четвертом квартале 2019 года, он занимал третье место. Это может быть связано с пандемией коронавируса, которая заставляет людей чаще использовать свои смартфоны для работы. Бренды, которые часто используются как в web, так и в мобильной версии (например, Netflix и PayPal) и чья популярность возросла из-за пандемии, показывают схожие результаты в рейтингах.

На приведенных ниже примерах видно серию фишинговых кампаний, в которых злоумышленники эксплуатируют известные бренды (Chase, Netflix и прочие) для получения прибыли.

В течение первого квартала 2020 года одни и те же бренды использовались как в web-фишинге, так и мобильном фишинге. Например, это были банковские и потоковые сервисы, такие как Chase и Netflix. Атаки через сайты были наиболее распространены (59%). На втором месте стоит мобильный фишинг.

Электронная почта (18% атак)

  1. Yahoo
  2. Microsoft
  3. Outlook
  4. Amazon

Интернет (59% атак)

  1. Apple
  2. Netflix
  3. PayPal
  4. eBay

Смартфоны (23% атак)

  1. Netflix
  2. Apple
  3. WhatsApp
  4. Chase

Отрасли, бренды которых наиболее часто эксплуатировали:

  1. Технологии
  2. Банки
  3. СМИ

В течение первого квартала команда Check Point Research отмечала появление десятков мошеннических сайтов, которые пытались имитировать банковские страницы со входом в личный кабинет. Например, сайты (такие же, как сайт ниже) имитировали страницу банка Chase для кражи личных данных пользователей: www.chasecovid19s\.com/home/myaccount/access\.php . Впервые этот сайт был активен в марте 2020 года и зарегистрирован под IP – 23.229.221.103, который расположен в Соединенных Штатах.

Согласно исследованию, злоумышленник использовал несколько похожих мошеннических доменов, таких как: chasecovid19v \ .com, chasecovid19t \ .com

В марте исследователи Check Point Research заметили мошеннический сайт, который пытался имитировать страницу входа в Airbnb. Предположительно, злоумышленники планировали якобы предоставлять обновления, касающиеся службы Airbnb. Веб-сайт: hxxps: //airbnb.id-covid19 \ .com / update / login \ .php   Домен зарегистрирован под российским IP – адресом: 91.210.107.54.

В середине февраля команда Check Point Research заметила, что URL-адрес mastriapaypal \ ¬.com (зарегистрирован: 2020-02-03 и размещен на этом IP-адресе – 216.239.38.21) перенаправляет пользователей на страницу входа в Unicredit Bank на болгарском языке по указанному ниже URL-адресу:

ghlinkup¬\.¬com/wp-content/plugins/wp-component/wp-com/img/js/pp/ -––домен размещен на этом IP-адресе:  198.54.120.52.

В конце марта исследователи заметили, что домен yahoo-mask \ .com предлагал маски для лица японцам через, казалось бы, Yahoo Japan.

Домен расположен на этом IP-адресе: 45.34.181.228. Был зарегистрирован по адресу электронной почты: tepjfotx198686@yahoo.co.jp

В феврале исследователи команды Check Point Research заметили, что адрес электронной почты \ .whatsapp \ .vvipx9 \ .com / login.php представляет мошенническую страницу веб-входа WhatsApp на индонезийском языке, которая запрашивает учетные данные Facebook для подключения. Домен размещен на этом IP-адресе 5.189.170.134.

Чтобы не стать жертвой подобных мошенничеств, необходимо соблюдать базовые правила безопасности:

  1. Убедитесь, что вы используете оригинальный веб-сайт. Не нажимайте на ссылки в рекламных рассылках электронной почты –– лучше самостоятельно того искать в Google нужного вам продавца и кликать ссылку на странице поиска Google.
  2. Остерегайтесь «специальных» предложений. Скидка 80% на новый iPhone обычно не заслуживает доверия.
  3. Обращайте внимание на адрес доменов, отправителей электронных писем, орфографические ошибки в электронных письмах и на сайтах.

 

 

 

 

 

 

 

 

 

 

 

Похожие записи