- 13,743
- 20
- 8 Ноя 2022
Как SilkSpecter столь правдоподобно маскирует мошеннические сайты?
Исследователи из EclecticIQ Для просмотра ссылки Войдиили Зарегистрируйся нацеленную на любителей скидок в преддверии Чёрной пятницы. По их оценкам, за атаками стоит китайская группировка SilkSpecter, преследующая финансовые цели. Кампания охватывает США и Европу, используя заманчивые предложения с большими скидками для сбора личных данных и платёжной информации пользователей.
Атака была нацелена на кражу данных банковских карт, что стало возможным благодаря использованию легитимного процессора Stripe . SilkSpecter использовали эту платформу для обработки реальных платежей, одновременно похищая данные. Сайт выглядел максимально правдоподобно, а язык автоматически подстраивался под местоположение пользователя с помощью Google Translate.
Ранее SilkSpecter уже проводила подобные атаки. Сайты создавались с использованием доменов «.top», «.shop», «.store» и «.vip», маскируясь под легитимные интернет-магазины. На каждом фишинговом сайте были встроены трекеры и пиксели отслеживания (OpenReplay, TikTok Pixel, Meta Pixel), следящие за активностью посетителей.
Чтобы придать сайтам доверительный вид, злоумышленники добавили значок «trusttollsvg», а также использовали скрытый сбор данных с помощью «/homeapi/collect» для фиксации посещений. Собранная информация отправлялась на сервера, контролируемые SilkSpecter.
Инфраструктура рассмотренных атак была построена на китайских серверах и использовала хостинг от китайских провайдеров. Аналитики отметили, что SilkSpecter активно использует домены, зарегистрированные через китайских регистраторов, таких как West263 и Cloud Yuqu LLC. Около 85% IP-адресов маршрутизировались через Cloudflare, что помогало скрыть реальное местоположение атакующих.
В качестве одной из мер защиты эксперты рекомендуют использовать виртуальные банковские карты для покупок в интернете и ограничивать лимиты на транзакции. Это может снизить риск кражи данных в случае компрометации.
Исследователи из EclecticIQ Для просмотра ссылки Войди
Атака была нацелена на кражу данных банковских карт, что стало возможным благодаря использованию легитимного процессора Stripe . SilkSpecter использовали эту платформу для обработки реальных платежей, одновременно похищая данные. Сайт выглядел максимально правдоподобно, а язык автоматически подстраивался под местоположение пользователя с помощью Google Translate.
Ранее SilkSpecter уже проводила подобные атаки. Сайты создавались с использованием доменов «.top», «.shop», «.store» и «.vip», маскируясь под легитимные интернет-магазины. На каждом фишинговом сайте были встроены трекеры и пиксели отслеживания (OpenReplay, TikTok Pixel, Meta Pixel), следящие за активностью посетителей.
Чтобы придать сайтам доверительный вид, злоумышленники добавили значок «trusttollsvg», а также использовали скрытый сбор данных с помощью «/homeapi/collect» для фиксации посещений. Собранная информация отправлялась на сервера, контролируемые SilkSpecter.
Инфраструктура рассмотренных атак была построена на китайских серверах и использовала хостинг от китайских провайдеров. Аналитики отметили, что SilkSpecter активно использует домены, зарегистрированные через китайских регистраторов, таких как West263 и Cloud Yuqu LLC. Около 85% IP-адресов маршрутизировались через Cloudflare, что помогало скрыть реальное местоположение атакующих.
В качестве одной из мер защиты эксперты рекомендуют использовать виртуальные банковские карты для покупок в интернете и ограничивать лимиты на транзакции. Это может снизить риск кражи данных в случае компрометации.
- Источник новости
- www.securitylab.ru
