Пользователи Amazon Prime должны быть настороже из-за новой фишинговой кампании, которая использует вредоносные вложения PDF для кражи данных кредитных карт. Тысячи опасных поддельных PDF нацелены на подписчиков Amazon Prime, и риск атаки очень высок. Но существуют способы распознать эту мошенническую схему.
Как работает кампания спуфинга Amazon Prime
Эксперты по информационной безопасности из Unit 42 выявили фишинговую кампанию в январе 2025 года. Атака начинается с письма о истечении срока действия подписки Amazon Prime. Похожие на предыдущие кампании спуфинга, которые имели место с 2022 по 2024 год, это письмо сообщает клиенту о проблеме с кредитной картой и предостерегает, что если не обновить платёжные данные, доступ к Prime будет приостановлен.
Мошенники используют вредоносный PDF-файл, замаскированный под страницу Amazon. Вместо того чтобы вставлять ссылку в тело письма, как это делалось ранее, вредоносная ссылка помещается в PDF-файл. Это вызывает доверие к PDF как к безопасному и безвредному формату файла.
Ссылка в PDF переводит на несколько фишинговых страниц, которые выглядят практически идентично странице входа в систему Amazon, разработанной для кражи ваших учётных данных.
После этого вы попадаете на страницу верификации аккаунта, где вас просят подтвердить свою личность, введя чувствительную информацию, включая номер социального страхования. На финальной фишинговой странице также просят подтвердить данные вашей кредитной карты.
Чтобы избежать обнаружения безопасности, злоумышленники применяют технику, называемую сокрытием. Это перенаправляет проверки безопасности и анализ на безвредную страницу, чтобы избежать диагностики.
Как распознать поддельные письма Amazon Prime
Письма содержат вложения с ссылками на страницы, которые выглядят почти идентично легитимным страницам Amazon (цвета и шрифты совпадают с подделанными страницами), но если обратить внимание, можно заметить детали, которые выдают мошенников.
Скриншоты от Unit 42 показывают страницы с URL-адресами, не совпадающими с аутентичными адресами Amazon. URL фишинговых страниц являются поддоменами duckdns[.] org и redirectme[.] net.
При внимательном просмотре на этих страницах также можно обнаружить грамматические ошибки или отсутствующие слова и фразы. Например, на странице подтверждения личности фишингового сайта говорится: "Чтобы защитить свой аккаунт Amazon, вам нужно немедленно выполнить действия." Угрозы, такие как "приостановка аккаунта", а также формулировки, призывающие действовать быстро или немедленно, предназначены для того, чтобы заставить вас выполнить требования, не оставляя времени на обдумывание.
Как защищать свой аккаунт Amazon
Обеспечьте безопасность своего аккаунта, используя надежный пароль и многофакторную аутентификацию. Amazon также рекомендует использовать адрес электронной почты и номер мобильного телефона для ваших аккаунтов. Таким образом, вы будете получать уведомления на оба контактных метода.
Также следите за сроками подписки, чтобы вас не ввели в заблуждение и не заставили думать, что ваша подписка скоро истечет, когда это не так. Будьте осторожны с письмами от Amazon, которые вы не ожидаете, и не открывайте вложения, даже если они выглядят безвредными, если вы не подтвердили источник.
Распространенный сигнал, указывающий на фишинговую страницу, выдающую себя за Amazon, — это наличие грамматических ошибок, таких как ошибки написания, недостающие слова и фразы, а также предложения, которые звучат неправильно. Однако хакеры уже используют инструменты ИИ, которые автоматически генерируют фишинговые страницы, письма и SMS с грамотно составленными текстами. Поэтому, если сообщение выглядит нормально, обратите внимание на другие детали.
Не забывайте всегда проверять URL-адрес. Некоторые URL могут сильно отличаться от тех, что на легитимном сайте Amazon, и их легко распознать. Однако есть хакеры, использующие технику, известную как "typosquatting". Typosquatting означает регистрацию домена, который может выглядеть как поддельный URL на первый взгляд, но с небольшими отличиями, такими как ошибочное написание слова или добавление буквы. Например, они могут зарегистрироваться с адресом "Aamazon.com" или "PaypaI.com", где вместо буквы "L" используется большая "i". Поэтому не торопитесь и внимательно читайте URL-адрес. Вы можете использовать сервисы проверки ссылок, чтобы выяснить, безопасна ли ссылка.
Хотя это может занять больше времени, лучший способ оставаться в безопасности — всегда уточнять информацию у Amazon перед тем, как кликать по ссылкам или открывать вложения. Закройте письмо и откройте новое окно браузера, потом зайдите на официальный сайт Amazon в вашей стране и свяжитесь с ними, используя официальные контактные данные службы поддержки. Также вы можете дважды проверить, войдя в свой аккаунт через их официальную страницу или приложение.
Конечно, это может занять несколько минут, чтобы проверить источник информации, но несколько простых шагов могут спасти вас от многих неприятностей, если вы станете жертвой кибер-мошенничества.
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Любите активный отдых на природе? Подписывайтесь на канал Поход лайфхак в Яндекс Дзен — кладезь полезных советов для любителей активного отдыха!
Вы также можете читать наши материалы в:
- Telegram: https://t.me/gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru
