Когда нам говорят о фишинговых атаках, нам кажется, что нас это никогда не коснется. Это ошибка. Отчет Verizon за 2019 г. о расследовании утечек данных показал, что почти треть (32%) утечек данных связана с фишингом. Фишинговые атаки присутствовали в 78% случаев кибершпионажа, а также при установке и использовании бэкдоров в сетях. Все это говорит о том, что фишинг остается одним из главных оружий в арсеналах киберпреступников.

Когда злоумышленники имитируют официальный сайт известного бренда с использованием аналогичного домена или URL-адреса – это фишинг бренда. Ссылка на фишинговый сайт может содержаться в электронном письме, SMS. На подобные фейковые сайты пользователь может быть перенаправлен во время просмотра других сайтов, из вредоносного мобильного приложения. Как правило, фишинговые сайты содержат форму, предназначенную для сбора и кражи учетных данных, личной или платежной информации пользователя.

Отчет команды Check Point Research о тех брендах, которые наиболее часто используются в фишинговых атаках за первый квартал, показал, что чаще всего злоумышленники подделывали письма от корпорации Apple. В этом рейтинге корпорация поднялась с 7-го места (2% всех попыток фишинга в мире в IV квартале 2019 г.) на первое место. Отчасти это было связано с ожидаемым запуском новых Apple Watch: злоумышленники использовали ажиотаж вокруг этой темы для фишинговых атак.

Мобильный фишинг в первом квартале оказался на втором месте среди самых распространенных векторов атак. В предыдущем периоде, в четвертом квартале 2019 г. он занимал третье место. Это может быть связано с пандемией коронавируса, которая заставляет людей чаще использовать свои смартфоны для работы. Бренды, которые часто используются как в веб, так и в мобильной версии (например, Netflix и PayPal) и чья популярность возросла из-за пандемии, показывают схожие результаты в рейтингах.

Рейтинг использования брендов в фишинге:

В течение первого квартала одни и те же бренды использовались как в веб-фишинге, так и мобильном фишинге. Например, это были банковские и потоковые сервисы, такие как Chase и Netflix. Атаки через сайты были наиболее распространены (59%). На втором месте стоит мобильный фишинг.

Электронная почта (18% атак):

1. Yahoo;
2. Microsoft;
3. Outlook;
4. Amazon.

Интернет (59% атак):

1. Apple;
2. Netflix;
3. PayPal;
4. eBay.

Смартфоны (23% атак):

1. Netflix;
2. Apple;
3. WhatsApp;
4. Chase.

Отрасли, бренды которых наиболее часто эксплуатировали:

1. Технологии;
2. Банки;
3. СМИ.

В феврале злоумышленники пытались имитировать Netflix, используя фейковый домен (netflix-pagos .com).

В течение первого квартала команда Check Point Research отмечала появление десятков мошеннических сайтов, которые пытались имитировать банковские страницы со входом в личный кабинет. Например, сайты имитировали страницу банка Chase для кражи личных данных пользователей: chasecovid19s.com/home/myaccount/access.php. Впервые этот сайт был активен в марте и зарегистрирован под IP – 23.229.221.103, который расположен в Соединенных Штатах.

Согласно исследованию, злоумышленник использовал несколько похожих мошеннических доменов, таких как: chasecovid19v .com, chasecovid19t .com

В марте исследователи Check Point Research заметили мошеннический сайт, который пытался имитировать страницу входа в Airbnb. Предположительно, злоумышленники планировали якобы предоставлять обновления, касающиеся службы Airbnb. Веб-сайт: hxxps: //airbnb.id-covid19 .com / update / login .php. Домен зарегистрирован под российским IP – адресом: 91.210.107.54.

В середине февраля команда Check Point Research заметила, что URL-адрес mastriapaypal ¬.com (зарегистрирован: 2020-02-03 и размещен на этом IP-адресе – 216.239.38.21) перенаправляет пользователей на страницу входа в Unicredit Bank на болгарском языке по указанному ниже URL-адресу:

ghlinkup¬.¬com/wp-content/plugins/wp-component/wp-com/img/js/pp/ -––домен размещен на этом IP-адресе: 198.54.120.52.

В феврале исследователи команды Check Point Research заметили, что адрес электронной почты .whatsapp .vvipx9 .com / login.php представляет мошенническую страницу веб-входа WhatsApp на индонезийском языке, которая запрашивает учетные данные Facebook для подключения. Домен размещен на этом IP-адресе 5.189.170.134.

Чтобы не стать жертвой подобных мошенничеств, мы напоминаем базовые правила безопасности:

1. Убедитесь, что вы используете оригинальный веб-сайт. Не нажимайте на ссылки в рекламных рассылках электронной почты – лучше самостоятельно того искать в Google нужного вам продавца и кликать ссылку на странице поиска Google;
2. Остерегайтесь «специальных» предложений. Скидка 80% на новый iPhone обычно не заслуживает доверия;
3. Обращайте внимание на адрес доменов, отправителей электронных писем, орфографические ошибки в электронных письмах и на сайтах.

Источник: ko.com.ua