Ένας κινέζος ηθοποιός απειλών με οικονομικά κίνητρα που ονομάζεται “SilkSpecter” χρησιμοποιεί χιλιάδες πλαστά ηλεκτρονικά καταστήματα για να κλέψει τα στοιχεία της κάρτας πληρωμής των online αγοραστών στις ΗΠΑ και την Ευρώπη.
Η εκστρατεία απάτης ξεκίνησε τον Οκτώβριο του 2024, προσφέροντας έντονες εκπτώσεις για την επερχόμενη περίοδο αγορών της Μαύρης Παρασκευής που συνήθως παρουσιάζει αυξημένη δραστηριότητα αγορών.
Ο ερευνητής απειλών EclecticIQ Arda Buyukkaya, ο οποίος ανακάλυψε την εκστρατεία, είπε στο BleepingComputer ότι, από την δημοσίευση της έκθεσής τουςη SilkSpecter διαχειρίζεται 4.695 δόλιους τομείς.
Αυτοί οι ιστότοποι υποδύονται γνωστές επωνυμίες όπως οι North Face, Lidl, Bath & Body Works, LL Bean, Wayfair, Makita, IKEA και Gardena.
Σε πολλές περιπτώσεις, τα ονόματα τομέα που χρησιμοποιούνται στην καμπάνια περιλαμβάνουν τη συμβολοσειρά «Black Friday», που στοχεύει ξεκάθαρα τους διαδικτυακούς αγοραστές που αναζητούν προσφορές με έκπτωση.
Κλοπή στοιχείων πιστωτικής κάρτας
Οι ιστότοποι της SilkSpecter είναι καλοσχεδιασμένοι και συνήθως ονομάζονται από την υποδυόμενη μάρκα για να φαίνονται αυθεντικοί με μια γρήγορη ματιά. Ωστόσο, οι ιστότοποί τους χρησιμοποιούν συνήθως τομείς ανώτατου επιπέδου όπως “.shop”, “.store”, “.vip” και “.top”, οι οποίοι γενικά δεν σχετίζονται με μεγάλες επωνυμίες ή αξιόπιστους ιστότοπους ηλεκτρονικού εμπορίου.
Ανάλογα με την τοποθεσία του θύματος, ο ιστότοπος χρησιμοποιεί τη Μετάφραση Google για να προσαρμόσει αυτόματα τη γλώσσα στους ιστότοπους απάτης ανάλογα.
Οι ιστότοποι phishing ενσωματώνουν το Stripe, έναν νόμιμο και αξιόπιστο επεξεργαστή πληρωμών, ο οποίος προσθέτει στη νομιμότητα του ιστότοπου, ενώ τους επιτρέπει να κλέβουν πληροφορίες πιστωτικής κάρτας.
Το SilkSpecter χρησιμοποιεί επίσης εργαλεία παρακολούθησης όπως το OpenReplay, το TikTok Pixel και το Meta Pixel στους ιστότοπους. Αυτά τα εργαλεία τους βοηθούν να παρακολουθούν τη συμπεριφορά των επισκεπτών και πιθανώς να προσαρμόζουν τις τακτικές τους για να αυξήσουν την αποτελεσματικότητα της λειτουργίας.
Όταν οι χρήστες επιχειρούν να αγοράσουν από αυτούς τους ιστότοπους, ανακατευθύνονται σε μια σελίδα πληρωμής που τους ζητά να εισαγάγουν τον αριθμό της πιστωτικής/χρεωστικής κάρτας, την ημερομηνία λήξης και τον κωδικό CVV. Ζητείται επίσης ένας αριθμός τηλεφώνου στο τελικό βήμα.
Εκτός από την κλοπή των χρημάτων για την παραγγελία με κατάχρηση της υπηρεσίας Stripe, το κιτ phishing στέλνει επίσης τα στοιχεία της κάρτας που έχετε καταχωρίσει σε έναν διακομιστή που ελέγχεται από τον εισβολέα.
Το EclecticIQ πιστεύει ότι ο αριθμός τηλεφώνου έχει κλαπεί για να χρησιμοποιηθεί αργότερα σε επιθέσεις phishing φωνής ή SMS που απαιτούνται για τον χειρισμό προτροπών ελέγχου ταυτότητας δύο παραγόντων (2FA) κατά την εκμετάλλευση των δεδομένων της κάρτας πληρωμής.
Το SilkSpecter πιστεύεται ότι είναι κινέζικο, με βάση τη χρήση κινεζικών διευθύνσεων IP και ASN, κινεζικών καταχωρητών τομέα, γλωσσικών στοιχείων στον κώδικα των ιστότοπων και προηγούμενης χρήσης της πλατφόρμας κινεζικού λογισμικού ως υπηρεσίας (SaaS) με το όνομα “oemapps” (πριν στο Stripe).
Συνιστάται στους αγοραστές του BlackFriday να επισκέπτονται μόνο επίσημους ιστότοπους της επωνυμίας και να αποφεύγουν να κάνουν κλικ σε διαφημίσεις, συνδέσμους από αναρτήσεις μέσων κοινωνικής δικτύωσης ή προωθημένα αποτελέσματα στην Αναζήτηση Google.
Τέλος, οι κάτοχοι καρτών θα πρέπει να ενεργοποιούν όλα τα διαθέσιμα μέτρα προστασίας στους χρηματοοικονομικούς λογαριασμούς τους, συμπεριλαμβανομένου του ελέγχου ταυτότητας πολλαπλών παραγόντων, και να παρακολουθούν τακτικά τις δηλώσεις τους.
VIA: bleepingcomputer.com