Cybersicherheitsforscher von Akamai haben eine neue Phishing-Kampagne entdeckt, die sich mit gefälschten Urlaubsangeboten an Verbraucher in den Vereinigten Staaten richtet. Das Ziel der Kampagne ist es, sensible Zugangsdaten wie Kreditkarteninformationen und letztendlich Ihr Geld zu stehlen.
Bedrohungsakteure erstellen Zielseiten, die einige der größten Marken in den Vereinigten Staaten imitieren, darunter Dick's, Tumi, Delta Airlines, Sam's Club, Costco und andere.
Die Landing Page, die oft von seriösen Cloud-Diensten wie Google oder Azure gehostet wird, fordert die Benutzer auf, an einer kurzen Umfrage teilzunehmen, woraufhin ihnen ein Preis versprochen wird. Die Untersuchung wäre außerdem auf fünf Minuten begrenzt, um die Aufmerksamkeit der Menschen von möglichen roten Fahnen abzulenken.
eindeutige Phishing-URLs
Nach Abschluss der Umfrage würden die Opfer zu „Gewinnern“ erklärt. Das Einzige, was sie jetzt tun müssten, um ihren Preis zu erhalten, wäre, die Versandkosten zu bezahlen. Hier würden sie ihre sensiblen Zahlungsinformationen preisgeben, damit Angreifer sie auf verschiedene Weise nutzen könnten.
Was diese Kampagne jedoch einzigartig macht, ist ihr Token-basiertes System, das es ihr ermöglicht, von Cybersicherheitslösungen unentdeckt und unentdeckt zu bleiben.
Wie die Forscher erklären, ermöglicht das System, dass jedes Opfer auf eine eindeutige URL der Phishing-Seite umgeleitet wird. Die URLs unterscheiden sich je nach Standort des Opfers, da Betrüger versuchen, sich als lokal verfügbare Marken auszugeben.
Die Forscher erklärten, wie das System funktioniert, und sagten, dass jede Phishing-E-Mail einen Link zur Zielseite zusammen mit einem Anker (#) enthält. Auf diese Weise werden Besucher normalerweise zu bestimmten Teilen einer Zielseite geleitet. In diesem Szenario ist das Tag ein Token, das von JavaSCript auf der Zielseite verwendet wird und die URL rekonstruiert.
„Werte nach dem HTML-Anker werden nicht als HTTP-Parameter betrachtet und nicht an den Server gesendet, aber auf diesen Wert kann über JavaScript-Code zugegriffen werden, der im Browser des Opfers ausgeführt wird“, sagten die Forscher. „Im Zusammenhang mit einem Phishing-Betrug kann der hinter dem HTML-Anker platzierte Wert ignoriert oder übersehen werden, wenn er von Sicherheitsprodukten analysiert wird, um zu überprüfen, ob er bösartig ist oder nicht.“
„Dieser Wert geht auch verloren, wenn er mit einem Verkehrskontrolltool angezeigt wird.“
Cybersicherheitslösungen ignorieren dieses Token, was Bedrohungsakteuren dabei hilft, unauffällig zu bleiben. Auf der anderen Seite bleiben Forscher, Analysten und andere unerwünschte Besucher fern, da die Website ohne das richtige Token nicht geladen wird.
Über: BleepingComputer (Öffnet in einem neuen Tab)