سرقت اعتبار برای حملات فیشینگ از طریق هدرهای HTTP در مقیاس بزرگ توسط هکرها

اهداف فعالیت در مقیاس بزرگ که بین ماه مه و ژوئیه 2024 مشاهده شد، شامل شرکت‌های بزرگ در کره جنوبی و همچنین سازمان‌های دولتی و مدارس در ایالات متحده است که بیش از 2000 آدرس اینترنتی مخرب با این کمپین‌ها مرتبط شده‌اند. بیش از 36 درصد از حملات، بخش تجارت و اقتصاد و پس از آن خدمات مالی (12.9٪)، دولت (6.9٪)، بهداشت و پزشکی (5.7٪) و کامپیوتر و اینترنت (5.4٪) بوده اند. 

این حملات در جدیدترین فهرست طولانی تاکتیک‌هایی هستند که بازیگران تهدید برای مخفی کردن قصد خود و فریب گیرندگان ایمیل برای جدا کردن اطلاعات حساس از جمله استفاده از دامنه‌های سطح بالا (TLD) و نام‌های دامنه برای انتشار فیشینگ و تغییر مسیر استفاده کرده‌اند. زنجیره های آلوده با تحویل لینک های مخرب از طریق URL های به روز رسانی هدر حاوی آدرس های ایمیل گیرندگان هدف مشخص می شوند. پیوندی که باید به آن هدایت شود در سربرگ پاسخ Refresh تعبیه شده است.

نقطه شروع زنجیره آلودگی یک پیام ایمیل حاوی پیوندی است که یک دامنه قانونی یا در معرض خطر را تقلید می کند که با کلیک کردن، هدایت مجدد به صفحه جمع آوری اعتبارactor-controlled را آغاز می کند. برای مشروعیت بخشیدن به تلاش فیشینگ، صفحات ورود به ایمیل مخرب وب، آدرس ایمیل گیرندگان را از قبل پر می کنند. همچنین مشاهده شده است که مهاجمان از دامنه های قانونی استفاده می کنند که خدمات کوتاه کردن URL، ردیابی و بازاریابی کمپین را ارائه می دهند.

محققان می‌گویند: «با تقلید دقیق دامنه‌های قانونی و هدایت مجدد قربانیان به سایت‌های رسمی، مهاجمان می‌توانند به طور موثر اهداف واقعی خود را پنهان کنند و احتمال سرقت اعتبار موفقیت‌آمیز را افزایش دهند». این تاکتیک‌ها استراتژی‌های پیچیده‌ای را که مهاجمان برای اجتناب از شناسایی و بهره‌برداری از اهداف نامطمئن استفاده می‌کنند، برجسته می‌کند». فیشینگ و مصالحه ایمیل تجاری (BEC) همچنان یک مسیر برجسته برای دشمنانی است که به دنبال استخراج اطلاعات و انجام حملات با انگیزه مالی هستند.

بر اساس گزارش اداره تحقیقات فدرال ایالات متحده (FBI)، حملات BEC بین اکتبر 2013 تا دسامبر 2023، با بیش از 305000 مورد کلاهبرداری گزارش شده است که در بازه زمانی اکتبر 2013 تا دسامبر 2023 حدود 55.49 میلیارد دلار هزینه برای ایالات متحده و سازمان های بین المللی داشته است. این توسعه در بحبوحه «ده‌ها کمپین کلاهبرداری» صورت می‌گیرد که حداقل از ژوئیه 2023 از ویدیوهای دیپ‌فیک با حضور چهره‌های عمومی، مدیران عامل، مجریان اخبار و مقامات ارشد دولتی برای ترویج طرح‌های سرمایه‌گذاری جعلی مانند هوش مصنوعی کوانتومی استفاده کرده‌اند.

این کمپین ها از طریق پست ها و تبلیغات در پلتفرم های مختلف رسانه های اجتماعی منتشر می شوند و کاربران را به صفحات وب جعلی هدایت می کنند که از آنها می خواهد فرمی را برای ثبت نام پر کنند، پس از آن یک کلاهبردار از طریق تماس تلفنی با آنها تماس گرفته و از آنها می خواهد که مبلغی را پرداخت کنند. هزینه اولیه 250 دلار برای دسترسی به خدمات. 

محققان واحد 42 می‌گویند: «کلاهبردار به قربانی دستور می‌دهد یک برنامه ویژه را دانلود کند تا بتواند سرمایه‌گذاری بیشتری از سرمایه خود داشته باشد. "در برنامه، به نظر می رسد یک داشبورد سود کمی را نشان می دهد." 

در نهایت، زمانی که قربانی سعی می‌کند وجوه خود را برداشت کند، کلاهبرداران یا درخواست هزینه‌های برداشت می‌کنند یا دلایل دیگری (مثلاً مسائل مالیاتی) را برای بازگرداندن وجوه خود ذکر می‌کنند. 

در نهایت، زمانی که قربانی سعی می‌کند وجوه خود را برداشت کند، کلاهبرداران یا درخواست هزینه‌های برداشت می‌کنند یا دلایل دیگری (مثلاً مسائل مالیاتی) را برای بازگرداندن وجوه خود ذکر می‌کنند. سپس کلاهبرداران ممکن است قربانی را از حساب خود قفل کنند و وجوه باقیمانده را به جیب بزنند و باعث شوند قربانی بیشتر پولی را که در "پلتفرم" گذاشته اند از دست بدهد." 

همچنین به دنبال کشف یک عامل تهدید مخفی است که خود را به عنوان یک شرکت قانونی معرفی می کند و خدمات حل خودکار CAPTCHA را در مقیاس وسیع برای سایر مجرمان سایبری تبلیغ می کند و به آنها کمک می کند تا به شبکه های فناوری اطلاعات نفوذ کنند.اعتقاد بر این است که "کسب و کار فعال سازی حملات سایبری" مستقر در جمهوری چک که توسط Arkose Labs لقب Greasy Opal نام دارد، از سال 2009 عملیاتی شده است و به مشتریان مجموعه ابزاری برای پر کردن اعتبار، ایجاد حساب جعلی انبوه، اتوماسیون مرورگر و هرزنامه رسانه های اجتماعی ارائه می دهد. با قیمت 190 دلار و 10 دلار اضافی برای اشتراک ماهانه.

مجموعه محصولات طیف جرایم سایبری را اجرا می کند و به آنها اجازه می دهد تا با بسته بندی چندین سرویس با هم یک مدل کسب و کار پیچیده ایجاد کنند. گفته می شود که درآمد این نهاد تنها برای سال 2023 کمتر از 1.7 میلیون دلار نیست. شرکت پیشگیری از کلاهبرداری در تحلیل اخیر خاطرنشان کرد: Greasy Opal از فناوری پیشرفته OCR برای تجزیه و تحلیل و تفسیر موثر CAPTCHA های مبتنی بر متن استفاده می کند، حتی آنهایی که توسط نویز، چرخش یا مسدود شدن مخدوش شده یا پنهان شده اند. این سرویس الگوریتم های یادگیری ماشینی را توسعه می دهد که بر روی مجموعه داده های گسترده ای از تصاویر آموزش داده شده اند.

یکی از کاربران آن Storm-1152 است، یک گروه جنایت سایبری ویتنامی که قبلاً توسط مایکروسافت شناسایی شده بود که 750 میلیون حساب و ابزار کلاهبرداری مایکروسافت را از طریق شبکه ای از وب سایت ها و صفحات رسانه های اجتماعی جعلی به سایر بازیگران جنایتکار فروخته است.

"Greasy Opal یک مجموعه پر رونق از مشاغل چند وجهی ایجاد کرده است که نه تنها خدمات حل CAPTCHA بلکه نرم افزارهای تقویت کننده سئو و خدمات اتوماسیون رسانه های اجتماعی را نیز ارائه می دهد که اغلب برای هرزنامه استفاده می شود، که می تواند پیش درآمدی برای ارسال بدافزار باشد." آزمایشگاه ها گفت. 

این گروه عامل تهدید روند رو به رشد مشاغلی را که در منطقه خاکستری فعالیت می کنند منعکس می کند، در حالی که محصولات و خدمات آن برای فعالیت های غیرقانونی در پایین دست استفاده شده است.