Η εορταστική περίοδος έφερε μαζί της μια έξαρση στις εξελιγμένες επιθέσεις phishing που συνδυάζουν δύο επικίνδυνες τακτικές: συλλογή διαπιστευτηρίων μέσω πλαστών ειδοποιήσεων Docusign και κλοπή ταυτότητας μέσω πλαστών εντύπων αιτήσεων δανείου.
Αυτές οι συντονισμένες εκστρατείες εκμεταλλεύονται το εποχικό χάος των υπερφορτωμένων εισερχομένων και του οικονομικού άγχους που κορυφώνεται κατά την περίοδο των Χριστουγέννων και της Πρωτοχρονιάς.
Οι φορείς απειλών εκμεταλλεύονται την εμπιστοσύνη που έχουν οι χρήστες σε γνωστές επιχειρηματικές ροές εργασίας, ιδιαίτερα στις διαδικασίες αναθεώρησης εγγράφων, για να διακυβεύσουν τόσο τα προσωπικά όσο και τα εταιρικά δεδομένα σε άνευ προηγουμένου κλίμακα.
Η εκστρατεία επίθεσης βασίζεται στο να πείσει τους χρήστες ότι πρέπει να ελέγξουν τα ολοκληρωμένα έγγραφα κατά τη διάρκεια της πολυάσχολης περιόδου των διακοπών.
Οι απατεώνες στέλνουν μηνύματα ηλεκτρονικού ταχυδρομείου που φαίνεται να προέρχονται από την Docusign με επωνυμία και υποσέλιδα με αυθεντική εμφάνιση, αλλά αυτά τα μηνύματα προέρχονται από ύποπτους τομείς όπως το jritech.shop και όχι από νόμιμους διακομιστές Docusign.
.webp.jpeg "Christmas Phishing Surge Chains Docusign Spoofing with Identity Theft Questionnaires")
Τα email αναφέρονται σε πλαστά έγγραφα με θέμα τα Χριστούγεννα, όπως παραγγελίες κρασιού, δημιουργώντας μια αίσθηση νομιμότητας που ενθαρρύνει τα γρήγορα κλικ χωρίς επαλήθευση.
Όταν οι χρήστες κάνουν κλικ στο κουμπί Αναθεώρηση εγγράφου, ανακατευθύνονται μέσω πολλαπλών πλατφορμών φιλοξενίας, συμπεριλαμβανομένων των Fastly, Glitch και Surge.sh, προτού προσγειωθούν σε σελίδες συλλογής διαπιστευτηρίων που έχουν σχεδιαστεί για να κλέβουν εταιρικές συνδέσεις ηλεκτρονικού ταχυδρομείου.
Οι αναλυτές του Forcepoint εντόπισαν αυτήν την εξελιγμένη αλυσίδα απειλών κατά τη διάρκεια της έρευνάς τους στα X-Labs στα τέλη Δεκεμβρίου, παρακολουθώντας πώς είναι δομημένες οι επιθέσεις και ανακαλύπτοντας την υποστηρικτική υποδομή που επιτρέπει την απάτη.
.webp.jpeg "Christmas Phishing Surge Chains Docusign Spoofing with Identity Theft Questionnaires")
Οι ερευνητές σημείωσαν ότι το δεύτερο κύμα της εκστρατείας εισάγει έναν ξεχωριστό αλλά συμπληρωματικό φορέα επίθεσης που στοχεύει σε προσωπικές οικονομικές πληροφορίες και όχι σε εταιρικά διαπιστευτήρια.
Αυτά τα ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου για δάνειο διακοπών υπόσχονται γρήγορα μετρητά, χαμηλά επιτόκια και επείγουσες εγκρίσεις για τη συλλογή ευαίσθητων προσωπικών δεδομένων.
Ο βασικός μηχανισμός επίθεσης περιλαμβάνει ένα ερωτηματολόγιο κλοπής ταυτότητας πολλαπλών σταδίων που φιλοξενείται στο christmasscheercash.com και καθοδηγεί τα θύματα σε μια διαδικασία παραπλανητικής συλλογής δεδομένων.
.webp.jpeg "Christmas Phishing Surge Chains Docusign Spoofing with Identity Theft Questionnaires")
Το έντυπο ξεκινά ακίνδυνα ρωτώντας πόσα χρήματα χρειάζεται το θύμα, με επιλογές που κυμαίνονται από 100 έως 50.000 δολάρια.
Στη συνέχεια προχωρά σταδιακά στο να ζητά βασικές πληροφορίες όπως όνομα, email και αριθμό τηλεφώνου, κάτι που εμφανίζεται φυσιολογικό για οποιαδήποτε αίτηση δανείου.
Το ερωτηματολόγιο συνεχίζεται ρωτώντας σχετικά με την ιδιοκτησία κατοικίας, την ιδιοκτησία οχήματος, τα στοιχεία του εργοδότη και τις πληροφορίες εισοδήματος, διατηρώντας την πρόσοψη της νομιμότητας σε όλη αυτή τη φάση.
.webp.jpeg "Christmas Phishing Surge Chains Docusign Spoofing with Identity Theft Questionnaires")
Ωστόσο, ο πραγματικός στόχος γίνεται σαφής στα τελικά στάδια όταν το έντυπο ζητά πλήρεις τραπεζικές πληροφορίες. Ζητείται από τα θύματα να παρέχουν αριθμούς δρομολόγησης, αριθμούς λογαριασμών και άλλες ευαίσθητες λεπτομέρειες με το πρόσχημα της κατάθεσης κεφαλαίων δανείου.
Μετά την υποβολή, οι χρήστες ανακατευθύνονται σε πρόσθετους ιστότοπους απάτης, όπως το thepersonalfinanceguide.com, οι οποίοι ζητούν ξανά τις ίδιες πληροφορίες και εκθέτουν τα θύματα σε ατελείωτες ανεπιθύμητες προσφορές δανείων.
Αυτό το μοτίβο μεταβίβασης είναι τυπικό σε οικοσυστήματα κλοπής ταυτότητας που έχουν σχεδιαστεί για να μεγιστοποιούν τη συλλογή δεδομένων και τη δημιουργία εσόδων σε πολλές πλατφόρμες απάτης.
