警惕!黑客正在從分類信息網(wǎng)站上竊取信用卡
Bleeping Computer 網(wǎng)站披露,新加坡正在發(fā)生一場(chǎng)新的信用卡竊取活動(dòng),攻擊者通過精心設(shè)計(jì)的網(wǎng)絡(luò)釣魚伎倆,“搶奪”分類網(wǎng)站上賣家的付款信息。更糟糕的是,攻擊者還試圖利用銀行平臺(tái)上的一次性有效密碼(OTP)將資金直接轉(zhuǎn)入其賬戶上。
2022 年 3 月,Group-IB 威脅分析師發(fā)現(xiàn)新加波出現(xiàn)了一波釣魚攻擊。經(jīng)過詳細(xì)分析,他們判斷這波攻擊是 2020 年發(fā)現(xiàn)的“Classicscam”全球行動(dòng)中的一部分,這表明該活動(dòng)仍在增長(zhǎng),其范圍正在擴(kuò)大。
網(wǎng)絡(luò)攻擊活動(dòng)不斷擴(kuò)大
Classicscam 是一個(gè)全自動(dòng)的“詐騙即服務(wù)”平臺(tái),一般以分類網(wǎng)站用戶(這些用戶試圖出售或購(gòu)買網(wǎng)頁(yè)上所列物品)為主要攻擊目標(biāo)。除此之外,該詐騙計(jì)劃還針對(duì)銀行、加密貨幣交易所、快遞公司、搬家公司和其他類型的服務(wù)提供商,側(cè)面反映了其目標(biāo)范圍甚廣。
據(jù)悉,Classicscam 主要依靠其 Telegram 頻道(目前依舊有 90 個(gè)活躍頻道)進(jìn)行詐騙宣傳和運(yùn)營(yíng)協(xié)調(diào),自 2019 年以來,估計(jì)已經(jīng)造成了超過 2900 萬美元的損失。
從 Group-IB 披露得數(shù)據(jù)來看,Classicscam 犯罪網(wǎng)絡(luò)目前約有 38000 名注冊(cè)用戶,背后運(yùn)營(yíng)者獲得了大約 75% 的被盜金額,平臺(tái)管理員則獲得了另外 25% 的分成。
Classicscam層次結(jié)構(gòu)圖(Group-IB)
詐騙活動(dòng)開始在新加坡蔓延
Classicscam 之前在俄羅斯、歐洲和美國(guó)出現(xiàn)過,但最近研究人員發(fā)現(xiàn)其開辟了一個(gè)新的、相當(dāng)大的目標(biāo)池,通過模仿新加坡流行的分類網(wǎng)站,創(chuàng)建了網(wǎng)絡(luò)釣魚網(wǎng)站的選項(xiàng)。 對(duì)于這個(gè)特定目標(biāo),攻擊者使用了 18 個(gè)域,作為通過 Telegram 創(chuàng)建網(wǎng)絡(luò)釣魚站點(diǎn)的空間。
繪制的新加坡網(wǎng)絡(luò)(Group-IB)
網(wǎng)絡(luò)攻擊者的套路常見但有效,通過接近出售物品的賣家,聲明有興趣購(gòu)買,最終將生成的釣魚網(wǎng)站 URL 發(fā)送給他們。一旦賣家點(diǎn)擊鏈接,他們將登陸一個(gè)看起來像分類信息門戶一部分的網(wǎng)站,頁(yè)面顯示已完成了商品付款。
虛假的付款通知(Group-IB)
但是,賣家必須輸入“銀行卡”的詳細(xì)信息(包括卡號(hào)、到期日期、持有人姓名和 CVV 代碼等),才能收到購(gòu)買資金。
釣魚卡表格 (Group-IB)
接下來,受害者會(huì)收到一個(gè)假的OTP(一次性密碼)頁(yè)面,而 Classicscam 服務(wù)則利用獲得密碼,通過反向代理,在真正的銀行門戶網(wǎng)站上登錄。最后,為了區(qū)分有價(jià)值的賬戶與資金較少的賬戶,詐騙分子還要求受害者輸入其賬戶余額。
提示受害者輸入其卡里余額(Group-IB)
Classicscam 擴(kuò)大趨勢(shì)很難被阻止
Group-IB 表示,他們正在積極跟蹤和阻止 Classicscam 網(wǎng)站,以期及時(shí)報(bào)告其基礎(chǔ)設(shè)施,并提醒目標(biāo)服務(wù),告知用戶這一風(fēng)險(xiǎn)。然而,盡管在過去三年中已經(jīng)阻止了 5000 多個(gè)惡意端點(diǎn),仍然沒有擋住 Classiscam 擴(kuò)張的腳步。
Group-IB 的數(shù)字風(fēng)險(xiǎn)保護(hù)團(tuán)隊(duì)負(fù)責(zé)人 Ilia Rozhnov 強(qiáng)調(diào),Classiscam 比傳統(tǒng)類型的詐騙案要復(fù)雜得多。與傳統(tǒng)騙局不同,Classiscam 是完全自動(dòng)化的,可以廣泛傳播,詐騙者可以隨心所欲地創(chuàng)建取之不盡的鏈接列表。更糟糕的是,為了使檢測(cè)和清除工作復(fù)雜化,攻擊者總是將惡意域名的主頁(yè)重定向到當(dāng)?shù)胤诸惼脚_(tái)的官方網(wǎng)站上。
最后,強(qiáng)烈建議用戶在輸入敏感信息之前,應(yīng)仔細(xì)判別,避免遭受欺詐。
