Представители Reddit сообщили, что 5 февраля 2023 года им стало известно о фишинговой кампании, нацеленной на персонал. Злоумышленникам удалось захватить учетную запись одного из сотрудников.
Reddit — это популярный на Западе форум, на котором пользователи обсуждают различные темы, в странах СНГ эту нишу занял "Пикабу".
По словам компании, мошенникам удалось заполучить только контактные данные некоторых сотрудников, ограниченный код Reddit и ограниченную информацию о рекламодателях, не затрагивающую финансовые и статистические сведения.
Отделу безопасности удалось быстро отреагировать на инцидент и избежать непоправимых последствий, так как взломанный сотрудник незамедлительно сообщил об утере учетных данных.
Мошенничество доступно для всех
На киберпреступных форумах продвигаются веб-инжекты для кражи конфиденциальной информации из мобильных приложений.
Как пишут SecurityLab, веб-инжекты — настраиваемые модули или пакеты, используемые во вредоносных программах, которые обычно внедряют код HTML или JavaScript в контент до его отображения в веб-браузере. Если говорить простым языком, то на открытой жертвой странице отобразится заранее подготовленный злоумышленниками контент, имитирующий легитимный.
Веб-инжекты совместимы с популярными Android-троянами. За веб-инжект, имитирующий один конкретный интерфейс, просят $30, а за пакет из 814 штук цены достигают $6512. Купив такой набор, мошенник получает доступ к сотням вредоносных интерфейсов, которые построены на базе популярных сервисов.
Если такой троян каким-либо образом попадает на телефон пользователя, то сначала он проанализирует, какие приложения установлены на устройстве, а после загрузит соответствующие веб-инжекты. И когда жертва запустит нужное ей приложение, то "сверху" отобразится контент из веб-инжекта. Подробнее: https://blog.cyble.com
Как целая организация способна стать пешкой в руках злоумышленников
12 февраля хакерам удалось заполучить доступ к электронной почте Namecheap (сервис, специализирующийся на регистрации доменных имен). Но преступники на этом не остановились и использовали взломанную учетную запись в последующих махинациях.
Как оказалось, мошенники начали массово отправлять фишинговые письма клиентам компании через сервис SendGrid (платформа, которая в Namecheap использовалась для уведомлений и маркетинговых рассылок). В этих сообщениях злоумышленники имитировали уже совершенно другие организации: DHL (сервис доставки грузов) и MetaMask (криптовалютный кошелек).
В письмах, где хакеры прикрывались DHL, пользователям якобы приходили счета за доставку, а ссылки внутри текста вели на фишинговый сайт, предназначенный для кражи данных. В сообщениях, где имитировалась рассылка от MetaMask, жертвы получали уведомление о необходимости пройти проверку KYC (Know Your Customer) — пользователю предстояло ввести "секретное слово" или предоставить "закрытый ключ" от кошелька на поддельной странице.
Namecheap и SendGrid уже ведут совместное расследование, выясняя обстоятельства возникновения инцидента.
Специалистам по ИБ: получите бесплатное ПО для проверки навыков кибербезопасности сотрудников и курсы для их обучения.
ПОДПИСЫВАЙТЕСЬ на наш Телеграм-канал https://t.me/safeinet
По большей части там будут собираться свежие схемы мошенников, атакующих сотрудников и физ. лиц.