CarderPlanet
Professional
Мы часто думаем о вредоносной рекламе как о вредоносной рекламе, которая распространяет вредоносные программы или мошенничества, и совершенно справедливо, что это, вероятно, наиболее распространенные полезные нагрузки. Однако вредоносная реклама также является отличным средством для фишинговых атак, которые мы обычно чаще видим через спам-письма.
Злоумышленники продолжают злоупотреблять и выдавать себя за бренды, выдавая себя за проверенных рекламодателей, единственной целью которых является контрабанда мошеннической рекламы через популярные поисковые системы. В этом сообщении в блоге мы рассматриваем недавнюю фишинговую атаку, нацеленную как на пользователей мобильных устройств, так и на пользователей настольных компьютеров, которые хотели отслеживать свои посылки через веб-сайт почтовой службы США.
Поиск в Google вернул рекламу, которая выглядела абсолютно достоверной. Тем не менее, она перенаправляет жертв на вредоносный сайт, который сначала собирает их адрес, данные кредитной карты и требует, чтобы они вошли в свой банковский счет для проверки.
Эта сложная фишинговая схема является напоминанием о том, что вредоносная реклама в результатах поиска остается проблемой, которая затрагивает как потребителей, так и компании, которые доверяют известным брендам.
Мы смогли сразу найти эту же кампанию, выполнив простой поиск в Google по запросу "отслеживание usp". Невероятно, но фрагмент объявления содержит официальный веб-сайт и логотип почтовой службы Соединенных Штатов и, тем не менее, "рекламодатель", чье подтвержденное юридическое имя - Анастася Іващенковащенко (Украина), не имеет к этому никакого отношения.
У этого поддельного рекламодателя было две разные рекламные кампании, одна из которых, похоже, была нацелена на пользователей мобильных устройств, а другая - на пользователей настольных компьютеров:
Жертвы, которые нажимают на объявление, попадают на веб-сайт, который просит их ввести свой номер (ы) отслеживания, как они и ожидали. Однако после отправки этой информации они получают сообщение об ошибке с указанием "Ваша посылка не может быть доставлена из-за неполной информации в адресе доставки."
Получение такого рода уведомлений также не является чем-то необычным. Затем пользователям предлагается снова ввести свой полный адрес, но также им необходимо заплатить небольшую комиссию в размере 35 центов за предоставление данных своей кредитной карты. Это первый признак того, что здесь что-то не так.
Жертвы вводят номер своей кредитной карты на фишинговом веб-сайте. Небольшая плата совершенно не имеет значения, поскольку перепродажа украденных данных на криминальных рынках может нанести гораздо больший ущерб.
Последний шаг состоит в том, чтобы попросить пользователей ввести свои учетные данные для своего финансового учреждения. Фишинговая страница является динамической и генерирует шаблон на основе ранее введенного номера карты. Например, здесь у нас есть карта VISA, а связанный с ней банк - JP Morgan:
Для другой карты, такой как MasterCard, вот соответствующая фишинговая страница:
Олицетворение бренда это огромная проблема, и решение по борьбе с ней начинается с применения поисковыми системами более строгих мер контроля. Когда дело доходит до загрузки программного обеспечения, одно из решений, которое приходит на ум, - зарезервировать заполнитель для официальной страницы загрузки и никогда не позволять рекламе занимать это место. Bing от Microsoft сделал это по большей части довольно успешно, и такая политика оказала бы существенное влияние на безопасность миллионов пользователей.
Поставщики средств безопасности, такие как Malwarebytes, будут продолжать защищать своих пользователей благодаря инструментам защиты браузеров, доступным для предприятий и потребителей. Вредоносная цепочка убийств может быть нарушена с самого начала рекламы вплоть до полезной нагрузки (вредоносное ПО, фишинг или мошенничество). Только полный пакет защиты в режиме реального времени может быть нацелен на эти критические точки распространения.
Мы сообщили об этом инциденте в Google, и Cloudflare уже пометил домены как фишинговые.
super-trackings[.]com
web-trackings[.]com
tracks4me[.]biz
forgetrackng[.]com
(c) https://www.malwarebytes.com/blog/t...r-usps-phishes-for-jpmorgan-chase-credentials
Злоумышленники продолжают злоупотреблять и выдавать себя за бренды, выдавая себя за проверенных рекламодателей, единственной целью которых является контрабанда мошеннической рекламы через популярные поисковые системы. В этом сообщении в блоге мы рассматриваем недавнюю фишинговую атаку, нацеленную как на пользователей мобильных устройств, так и на пользователей настольных компьютеров, которые хотели отслеживать свои посылки через веб-сайт почтовой службы США.
Поиск в Google вернул рекламу, которая выглядела абсолютно достоверной. Тем не менее, она перенаправляет жертв на вредоносный сайт, который сначала собирает их адрес, данные кредитной карты и требует, чтобы они вошли в свой банковский счет для проверки.
Эта сложная фишинговая схема является напоминанием о том, что вредоносная реклама в результатах поиска остается проблемой, которая затрагивает как потребителей, так и компании, которые доверяют известным брендам.
Вредоносная реклама выглядит на 100% легитимной
Эта кампания вредоносной рекламы был впервые замечен Джесси Баумгартнера, директора по маркетингу в явной оператора. В его В LinkedIn сообщение он делится несколькими скриншотами своего опыта при попытке отследить посылку и вместо этого попадает на мошеннический веб-сайт.Мы смогли сразу найти эту же кампанию, выполнив простой поиск в Google по запросу "отслеживание usp". Невероятно, но фрагмент объявления содержит официальный веб-сайт и логотип почтовой службы Соединенных Штатов и, тем не менее, "рекламодатель", чье подтвержденное юридическое имя - Анастася Іващенковащенко (Украина), не имеет к этому никакого отношения.
У этого поддельного рекламодателя было две разные рекламные кампании, одна из которых, похоже, была нацелена на пользователей мобильных устройств, а другая - на пользователей настольных компьютеров:
Проверка и обновление адреса - всего лишь уловка для получения банковских учетных данных
Можно задаться вопросом, как субъекты угрозы могут использовать официальный URL в объявлении и перенаправлять жертв на свой собственный веб-сайт. URL-адреса, показанные в объявлении, являются чистыми визуальными артефактами, которые не имеют ничего общего с тем, на что вы на самом деле нажимаете. При нажатии на объявление первым возвращаемым URL-адресом является собственный URL Google, который содержит различные показатели, связанные с объявлением, за которым следует собственный URL рекламодателя. Пользователи никогда этого не увидят, и именно это делает вредоносную рекламу с помощью олицетворения бренда такой опасной.
Жертвы, которые нажимают на объявление, попадают на веб-сайт, который просит их ввести свой номер (ы) отслеживания, как они и ожидали. Однако после отправки этой информации они получают сообщение об ошибке с указанием "Ваша посылка не может быть доставлена из-за неполной информации в адресе доставки."
Получение такого рода уведомлений также не является чем-то необычным. Затем пользователям предлагается снова ввести свой полный адрес, но также им необходимо заплатить небольшую комиссию в размере 35 центов за предоставление данных своей кредитной карты. Это первый признак того, что здесь что-то не так.
Жертвы вводят номер своей кредитной карты на фишинговом веб-сайте. Небольшая плата совершенно не имеет значения, поскольку перепродажа украденных данных на криминальных рынках может нанести гораздо больший ущерб.
Последний шаг состоит в том, чтобы попросить пользователей ввести свои учетные данные для своего финансового учреждения. Фишинговая страница является динамической и генерирует шаблон на основе ранее введенного номера карты. Например, здесь у нас есть карта VISA, а связанный с ней банк - JP Morgan:
Для другой карты, такой как MasterCard, вот соответствующая фишинговая страница:
Поддаться на вредоносную рекламу по-прежнему слишком легко
В области безопасности мы часто говорим и рекомендуем обучение пользователей. Когда дело доходит до вредоносной рекламы, осведомленность важна, но обучение может зайти не так далеко. Пример из этого поста в блоге показывает, почему: вредоносные объявления часто выглядят вполне законными, и мы не можем ожидать, что пользователи будут запускать запросы к доменным именам и инфраструктуре, чтобы обнаружить какие-либо злоупотребления.Олицетворение бренда это огромная проблема, и решение по борьбе с ней начинается с применения поисковыми системами более строгих мер контроля. Когда дело доходит до загрузки программного обеспечения, одно из решений, которое приходит на ум, - зарезервировать заполнитель для официальной страницы загрузки и никогда не позволять рекламе занимать это место. Bing от Microsoft сделал это по большей части довольно успешно, и такая политика оказала бы существенное влияние на безопасность миллионов пользователей.
Поставщики средств безопасности, такие как Malwarebytes, будут продолжать защищать своих пользователей благодаря инструментам защиты браузеров, доступным для предприятий и потребителей. Вредоносная цепочка убийств может быть нарушена с самого начала рекламы вплоть до полезной нагрузки (вредоносное ПО, фишинг или мошенничество). Только полный пакет защиты в режиме реального времени может быть нацелен на эти критические точки распространения.
Мы сообщили об этом инциденте в Google, и Cloudflare уже пометил домены как фишинговые.
Индикаторы компрометации (IOCs)
logictrackngs[.]comsuper-trackings[.]com
web-trackings[.]com
tracks4me[.]biz
forgetrackng[.]com
(c) https://www.malwarebytes.com/blog/t...r-usps-phishes-for-jpmorgan-chase-credentials
