Ett annat stort NFT-företag drabbades av en attack

Akamais cybersäkerhetsforskare har upptäckt en ny nätfiskekampanj riktad mot konsumenter i USA med falska semestererbjudanden. Målet med kampanjen är att stjäla känsliga referenser som kreditkortsinformation och i slutändan dina pengar.

Hotaktörer skapar målsidor som poserar som några av de största varumärkena i USA, inklusive Dick's, Tumi, Delta Airlines, Sam's Club, Costco och andra.

Målsidan, ofta värd för välrenommerade molntjänster som Google eller Azure, ber användarna att fylla i en kort undersökning, varefter de utlovas ett pris. Utredningen skulle också ha en tidsgräns på fem minuter, med brådska för att avleda människors uppmärksamhet från potentiella röda flaggor.

URL de phishing unicas

Efter att ha fyllt i undersökningen skulle offren förklaras som "vinnare". Det enda de skulle behöva göra nu, för att få sitt pris, skulle vara att betala fraktkostnaderna. Det är här de skulle ge sin känsliga betalningsinformation, för angripare att använda på olika sätt.

Men det som gör denna kampanj unik är dess token-baserade system som gör att den kan gå oupptäckt och oupptäckt av cybersäkerhetslösningar.

Som forskarna förklarar tillåter systemet att varje offer omdirigeras till en unik webbadress för nätfiskesidan. Webbadresserna skiljer sig beroende på offrets plats, eftersom bedragare försöker efterlikna lokalt tillgängliga varumärken.

Forskarna förklarade hur systemet fungerar och sa att varje nätfiskemeddelande innehåller en länk till målsidan, tillsammans med ett ankare (#). Detta är vanligtvis hur besökare dirigeras till specifika delar av en målsida. I det här scenariot är taggen en token som används av JavaSCript på målsidan, som rekonstruerar webbadressen.

"Värden efter HTML-ankaret kommer inte att betraktas som HTTP-parametrar och kommer inte att skickas till servern, men detta värde kommer att vara tillgängligt med JavaScript-kod som körs i offrets webbläsare," sa forskarna. "I samband med ett nätfiskebedrägeri kan värdet som placeras efter HTML-ankaret ignoreras eller förbises när det analyseras av säkerhetsprodukter för att verifiera om det är skadligt eller inte."

"Detta värde kommer också att gå förlorat om det visas med ett trafikinspektionsverktyg."

Cybersäkerhetslösningar ignorerar denna token, vilket hjälper hotaktörer att hålla en låg profil. Å andra sidan håller sig forskare, analytiker och andra oönskade besökare borta, eftersom webbplatsen inte laddas utan rätt token.

Via: BleepingComputer (öppnas i en ny flik)

Dela detta