Поделиться
Мошенники начали использовать PDF-документы для кражи данных кредитных карт
Злоумышленники плодят фишинговые сайты и используют все более хитрые цепочки приманок с целью заставить жертв выдать свои платежные данные
Конструктор сайтов
Эксперты компании Netskope Threat Labs опубликовали исследование широкомасштабной фишинговой кампании, операторы которой используют поддельные PDF-документы, размещенные в сети доставки контента (CDN) Webflow. Конечной целью фишинговых атак является кража данных кредитных карт и финансовое мошенничество.
Сам по себе сервис Webflow - это конструктор веб-сайтов, которым в последние месяцы злоумышленники стали активно пользоваться для создания фишинговых страниц. В октябре прошлого года специалисты Netskope Threat Labs сообщили, что между апрелем и сентябрем трафик к фишинговым страницам, созданным с помощью Webflow, вырос вдесятеро. Поддельные сайты имитируют легитимные ресурсы более 120 различных организаций.
Сейчас в Webflow оказалась связанной еще одна проблема.
«Злоумышленники нацелены на потенциальных жертв, которые ищут те или иные документы в поисковых системах; их перенаправляют на вредоносные PDF-файлы, которые содержат изображения Captcha со втроенными фишинговыми ссылками; в результате жертвы выдают значимую информацию», - пишет специалист Netskope Threat Labs Ян Михаэль Алькантара (Jan Michael Alcantarra).
Кампания началась где-то во второй половине 2024 г. Основной целью являются люди, которые ищут названия книг, документов и диаграм в Google и других поисковиках. Им «подсовывают» PDF-документы с названиями, релевантными результатам поиска и мнимым изображением Captcha, по клику на который открывается страница с еще одной Captcha - уже настоящей: Cloudflare Turnstile.
Как следствие, пользователи считают, что они проходят настоящую проверку безопасности. Злоумышленникам же удается тем самым обойти статические сканеры.
Только одна маленькая деталь
Прошедшие обе Captcha пользователи перенаправляются на страницу с кнопкой Download («Скачать»). Однако после нажатия на нее пользователю выводится всплывающее окно с предложением ввести свои личные данные и платежную информацию.
Если жертва вводит эти сведения, в ответ он получает информацию об ошибке: дескать, данные не приняты.
После третьей попытки ввести их, пользователя перенаправляют на страницу с ошибкой HTTP 500. Данные платежной карты же, естественно, оказываются в распоряжении злоумышленников.
«Причиной, по которой злоумышленники облюбовали Webflow, связана с тем, что пользователи этой CDN могут создавать субдомены без дополнительных выплат, и обеспечивать им произвольные названия. А, например, Cloudflare R2 или Microsoft Sway автоматически генерируют имена субдоменов, которые выглядят как последовательности случайных символов» , - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. «Случайные последовательности будет труднее выдать за легитимный ресурс».
Эксперт отметил, что фишинг подобного рода рассчитан на невнимательность и спешку. Проблем можно избежать, если относиться с заведомым подозрением к любым страницам, которые запрашивают данные кредитных карт.
Короткая ссылка
