За несколько дней до президентских выборов в США спам-группы спешат собрать урожай персональных данных и используют приманки, связанные с регистрацией избирателей, чтобы обманом заставить людей зайти на фальшивые правительственные сайты и выдать свои данные, иногда даже набираясь наглости требовать банковские и почтовые пароли и даже информацию о регистрации автомобиля.
Фишинговые кампании проводятся с сентября и продолжаются до сих пор, а темы писем-приманок все те же.
Замеченные исследователями безопасности компаний KnowBe4 и Proofpoint, эти атаки подделывают сайты Комиссии США по организации выборов - правительственного агентства США, ответственного за управление правилами регистрации избирателей.
Темы фишинга просты и играют на страхе граждан США, что их запрос о регистрации как избирателя мог быть отклонен.
Используя такие заголовки как «детали заявки на регистрацию избирателя не могут быть подтверждены» и «ваш окружной секретарь не может подтвердить регистрацию избирателя» пользователей заманивают на веб-страницы, выдающие себя за государственные сайты, и просят заполнить форму регистрации избирателя еще раз.
По данным Proofpoint, эти сайты являются поддельными и, как правило, размещаются на взломанных платформах WordPress. Если пользователи не замечают неправильный URL-адрес, в конечном итоге они предоставляют свои личные данные преступной группе. Данные, которые обычно собираются с помощью этих форм, включают в себя:
- Дата рождения
- Почтовый адрес
- адрес электронной почты
- Номер социального страхования (SSN)
- информация о водительских правах
Согласно исследованию KnowBe4 и Proofpoint, спамеры используют базовый шаблон, и все их письма обычно заманивают пользователей на сайт, который выглядит одинаково, как показано ниже.
Но в последующем отчете, опубликованном в четверг, Proofpoint сообщает что недавно эта группа изменила свою тактику.
В преддверии закрытия предвыборной кампании спамеры стали смелее. Помимо запроса персональных данных, характерного для бланков регистрации избирателей, группа расширила свой фишинговый сайт включив в него новые запрашиваемые поля:
- Название банка
- Номер банковского счета
- Номер маршрутизации банковского счета
- Идентификатор банка/Имя пользователя
- Пароль банковского счета
- Пароли доступа к электронной почте
- Идентификационный номер транспортного средства (VIN)
Для повышения правдоподобности спамеры утверждают, что эта дополнительная информация необходима, чтобы пользователи могли претендовать на «подарки».
Proofpoint сообщает, что эти фишинговые кампании являются работой хорошо организованной хакерской группы, которая принимала участие в предыдущих фишинговых кампаниях в этом году. В предыдущих кампаниях использовались приманки для бизнеса с финансированием, связанным с эпидемией COVID-19.
Неясно насколько эти кампании успешны, но тот факт их высокой активности означает что злоумышленники на них неплохо зарабатывают.
Перевод сделан со статьи: https://www.zdnet.com