En az 2019'dan bu yana 'Phish n' gemileri 'olarak adlandırılan bir kimlik avı kampanyası devam ediyor ve bulması zor ürünler için sahte ürün listelerini tanıtmak için binden fazla meşru çevrimiçi mağazayı bulaştı.
Bu ürünlere tıklayan şüphesiz kullanıcılar, kişisel detaylarını ve paralarını hiçbir şey göndermeden çalan yüzlerce sahte web mağazasından oluşan bir ağa yönlendirilir.
Phish n 'gemilerini keşfeden insanın Satori tehdit istihbarat ekibine göre, kampanya yüz binlerce tüketiciyi etkiledi ve on milyonlarca dolarlık tahmini kayıplara neden oldu.
Saldırı, bilinen güvenlik açıklarından (N-Days), yanlış yapılandırmalardan veya tehlikeye atılmış yönetici kimlik bilgilerini kullanarak meşru siteleri kötü niyetli komut dosyaları ile enfekte ederek başlar.
Bir site tehlikeye atıldıktan sonra, tehdit aktörleri sahte ürün listeleri yükledikleri "Zenb.php" ve "Khyo.php" gibi göze çarpmayan adlandırılan komut dosyalarını yükler.
Bu öğeler, kurbanların çizilebileceği Google arama sonuçlarındaki görünürlüklerini artırmak için SEO-optimize edilmiş meta verilerle tamamlanmıştır.
Mağdurlar bu bağlantıları tıkladıklarında, sonuçta hileli web sitelerine yol açan, genellikle tehlikeye atılan e-mağazanın arayüzünü taklit eden veya benzer bir tasarım kullanan bir dizi adımla yeniden yönlendirilirler.
Satori araştırmacılarına göre, bu sahte mağazaların tümü on dört IP adresinden oluşan bir ağa bağlıdır ve hepsi URL'de onları tanımlanabilir hale getiren belirli bir dize içerir.
Öğeyi sahte mağazadan satın almaya çalışmak, mağdurları meşru görünmek için tasarlanmış ancak herhangi bir veri doğrulaması, potansiyel sahtekarlık belirtisi içermez.
Kötü niyetli siteler, kurbanların kredi kartı ayrıntıları da dahil olmak üzere sipariş alanlarında giren bilgileri çalır ve saldırgan tarafından kontrol edilen yarı yasal ödeme işlemci hesabı kullanarak ödemeyi tamamlar.
Satın alınan ürün asla alıcıya gönderilmez, böylece kurbanlar hem paralarını hem de verilerini kaybeder.
Satori, Phish n 'gemilerinin aktif olduğu beş yıl boyunca, tehdit aktörlerinin aldatmacanın gelirlerini ortadan kaldırmak için birden fazla ödeme sağlayıcısını kötüye kullandığını buldu.
Daha yakın zamanlarda, bazı sahte e-mağaza sitelerinde bir ödeme mekanizması uygulamaya adapte oldular, böylece kurbanın kredi kartı ayrıntılarını doğrudan kapabilirler.
İnsan ve ortakları, etkilenen kuruluşların çoğunu bilgilendirerek ve sahte listeleri Google'a bildirerek, Phish n 'gemilerine bir yanıt verdi.
Yazma itibariyle, çoğu kötü niyetli arama sonuçları temizlendi ve neredeyse tüm tanımlanan mağazalar çevrimdışı alındı.
Ayrıca, dolandırıcılar için para kazanmayı kolaylaştıran ödeme işlemcileri buna göre bilgilendirildi ve rahatsız edici hesapları platformlarından çıkardı ve tehdit oyuncunun kar elde etme yeteneğini önemli ölçüde bozdu.
Tüm bunlara rağmen, tehdit aktörleri bu aksamaya uyum sağlayabilir. Satori, yeniden diriliş etkinliğini izlemeye devam etmesine rağmen, pes edecekleri ve yeni bir alışveriş yapan ağı kurmaya çalışmamaları pek olası değildir.
Tüketicilerin, e-ticaret platformlarına göz atarken olağandışı yönlendirmelere dikkat etmeleri, bir ürün satın almaya çalışırken doğru mağaza URL'sinde olduklarını doğrulamaları ve mümkün olan en kısa sürede bankalarına ve yetkililerine hileli ücretler bildirmeleri önerilir.
FBI: Yaklaşan ABD Genel Seçim Yakıtı Çoklu Sahtekarlık Programı
6.000 iPhone'dan Apple'ı dolandırdığı için hapsedilen dolandırıcılar
FBI: Bildirilen kripto para kayıpları 2023'te 5,6 milyar dolara ulaştı
Bilgisayar korsanları Cisco Store'da kötü niyetli JS'yi enjekte edin Kredi kartları, kimlik bilgileri çalmak için
LastPass, müşteri verilerini çalmaya çalışan sahte destek merkezleri konusunda uyarıyor
Kaynak: Bleeping Computer