Найти в Дзене
CISOCLUB
11,5 тыс подписчиков

Фишинговая кампания против пользователей WordPress: поддельные платежи и утечка OTP

3 мин
Коротко: расследование в области кибербезопасности выявило масштабную кампанию фишинга, направленную на пользователей WordPress. Злоумышленники рассылают мошеннические письма о якобы грядущем продлении домена, перенаправляют жертв на поддельный платежный портал и тайно отправляют похищенные данные через Telegram. Жертве приходит электронное письмо, оформленное под официальную корреспонденцию от WordPress.com, в котором утверждается о скором истечении срока действия домена и необходимости сделать платеж, чтобы избежать перебоев в обслуживании. Письмо специально построено так, чтобы создать ощущение срочности и спровоцировать немедленное действие. При переходе по ссылке пользователь попадает на поддельный платежный портал, размещённый на серверах, контролируемых злоумышленниками. Там у жертвы запрашивают данные кредитной карты и одноразовые пароли (OTP) для 3‑D Secure. Собранные данные затем эксфильтруются с использованием скрытого механизма — через сообщения в Telegram, что делает атаку
Оглавление

Коротко: расследование в области кибербезопасности выявило масштабную кампанию фишинга, направленную на пользователей WordPress. Злоумышленники рассылают мошеннические письма о якобы грядущем продлении домена, перенаправляют жертв на поддельный платежный портал и тайно отправляют похищенные данные через Telegram.

Суть атаки

Жертве приходит электронное письмо, оформленное под официальную корреспонденцию от WordPress.com, в котором утверждается о скором истечении срока действия домена и необходимости сделать платеж, чтобы избежать перебоев в обслуживании. Письмо специально построено так, чтобы создать ощущение срочности и спровоцировать немедленное действие.

При переходе по ссылке пользователь попадает на поддельный платежный портал, размещённый на серверах, контролируемых злоумышленниками. Там у жертвы запрашивают данные кредитной карты и одноразовые пароли (OTP) для 3‑D Secure. Собранные данные затем эксфильтруются с использованием скрытого механизма — через сообщения в Telegram, что делает атаку труднее обнаруживаемой.

Как работает схема (по шагам)

  • Рассылка фишинговых писем с имитацией внешнего вида сообщений от WordPress.com и с настойчивой формулировкой о срочности.
  • Переход по ссылке на поддельный платежный сайт, визуально похожий на легитимный.
  • Запрос конфиденциальной финансовой информации — номер карты, CVV, срок действия и OTP для 3‑D Secure.
  • Тайная передача собранных данных злоумышленникам через платформу Telegram.
  • Дальнейшее использование данных для нелегальных списаний и компрометации связанных сервисов доменной инфраструктуры.

Почему это опасно

Атака угрожает не только финансовым потерям отдельных пользователей, но и целостности услуг, связанных с доменами на платформе WordPress. Похищенные данные карт и OTP позволяют злоумышленникам проводить незаметные транзакции и обходить механизмы защиты платежей.

Использование Telegram для эксфильтрации усложняет расследование и повышает устойчивость злоумышленников к блокировкам и перехвату трафика.

Признаки фишинга, на которые стоит обращать внимание

  • Письмо требует срочно оплатить услугу и угрожает немедленными последствиями.
  • Адрес отправителя или домен ссылки не совпадают с официальными доменами WordPress.com.
  • Письмо содержит грамматические ошибки или нетипичные для официальной поддержки формулировки.
  • Сайт запрашивает OTP/пароль в контексте платежа — особенно если это сопровождается нестандартными редиректами.
  • Запрос информации, которую сервис обычно не просит по электронной почте (полные данные карты, CVV, OTP).

Рекомендации пользователям

  • Не переходите по ссылкам из подозрительных писем. Входите в аккаунт через официальный сайт вручную (в адресной строке браузера).
  • Проверяйте домен ссылки — убедитесь, что это именно wordpress.com (без дополнительных поддоменов или похожих замен в имени).
  • Никогда не вводите OTP или полные данные карты на сайтах, пришедших по ссылке из письма.
  • Включите двухфакторную аутентификацию (2FA) для аккаунта и используйте надежные пароли.
  • При малейших сомнениях свяжитесь с официальной поддержкой WordPress.com через проверенные каналы.
  • Сообщайте о фишинговых письмах вашему почтовому провайдеру и блокируйте отправителя.
  • Проверяйте выписки по картам и при подозрительных списаниях немедленно связывайтесь с банком.

Вывод

Расследование подчёркивает, что злоумышленники продолжают активно использовать социальную инженерию и подделку интерфейсов для кражи финансовой информации. Внимательность и соблюдение простых правил безопасности при работе с письмами о платежах и продлениях доменов остаются ключевыми мерами защиты.

«Эта кампания подчеркивает важность бдительности в отношении попыток фишинга и необходимость проверки пользователями подлинности сообщений, касающихся их учетных записей или сервисов.»

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Фишинговая кампания против пользователей WordPress: поддельные платежи и утечка OTP".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются