Сложная SEO-атака на мобильные устройства: кража учетных данных и мошенничество с зарплатами
Недавнее расследование выявило масштабную и изощренную SEO-атаку, нацеленную на пользователей мобильных устройств, которая привела к краже учетных данных и мошенничеству с начислением заработной платы. Злоумышленники создали поддельные страницы входа в систему, искусно маскируясь под легитимные платежные порталы, и благодаря продвинутым SEO-техникам эти фальшивые сайты занимали высокие позиции в поисковых результатах.
Механизм атаки и роль мобильных устройств
Основным инструментом злоумышленников стали фишинговые порталы, которые сотрудники компании принимают за официальные сайты для управления выплатами заработной платы. Благодаря искусственной оптимизации SEO и использованию ключевых слов, связанных с расчетами зарплат, эти сайты появлялись в верхних строках поисковых выдач именно тогда, когда пользователи искали соответствующую информацию.
Особое внимание уделяется уязвимостям мобильных устройств сотрудников. Как правило, они подключаются вне корпоративной сети, используя незащищённые гостевые Wi-Fi, где отсутствуют такие меры безопасности, как ведение журналов и фильтрация трафика. Это существенно повысило эффективность атаки и позволило злоумышленникам обходить традиционные средства контроля безопасности.
Подробности фишинговой кампании
- При заходе на фишинговую страницу жертва перенаправлялась на сайт WordPress, отображавшийся только на мобильных устройствах;
- Сайт маскировался под портал для входа Microsoft, вводя в заблуждение пользователя;
- Конфиденциальные данные сотрудников передавались через HTTP POST-запрос на сервер, контролируемый хакерами;
- Обработка запросов происходила с помощью PHP-файла, что указывает на связь с предыдущими инцидентами одного и того же злоумышленника;
- Использовался инструмент Pusher для получения уведомлений о краже учетных данных в режиме реального времени, что позволяло оперативно использовать украденные данные.
Технические нюансы и сложности обнаружения
Злоумышленники применяли быстро меняющиеся IP-адреса, получаемые через локальные маршрутизаторы, что существенно усложняло работу служб безопасности по отслеживанию и блокировке атак. Уязвимости в маршрутизаторах потребительского класса, часто связанные с их слабой конфигурацией, сыграли ключевую роль в обеспечении такого доступа.
Использование прокси-сетей, которые трудно отследить, позволяло хакерам выглядеть как легитимные пользователи. Такая маскировка создает серьёзные проблемы для организаций, поскольку вредоносный трафик сливается с обычным и обходят стандартные системы обнаружения подозрительной активности.
Рекомендации по снижению рисков
Для противодействия подобным угрозам эксперты рекомендуют организациям внедрять комплексный подход, включающий в себя:
- Многофакторную аутентификацию (MFA) и политики условного доступа для конфиденциальных порталов;
- Регулярный мониторинг изменений в системах управления заработной платой и прямым пополнением счёта;
- Обучение персонала безопасным методам доступа и распознанию фишинговых схем;
- Разработку и внедрение процессов быстрого реагирования на несанкционированные действия;
- Превентивное обнаружение доменов, выдающих себя за легитимные сайты, для своевременной нейтрализации угроз.
Выводы
Этот случай подчеркивает, насколько быстро и изощрённо развиваются методы злоумышленников. Только постоянная бдительность и адаптация стратегий кибербезопасности помогут организациям защитить сотрудников и корпоративные данные от новых фишинговых кампаний и кражи учетных данных.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "SEO-фишинг на мобильных: кража данных и обход защиты".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.