Close Menu
    Security

    Πειρατές μισθοδοσίας – Δίκτυο εγκληματικών ομάδων που κλέβουν συστήματα μισθοδοσίας

    Marizas DimitrisBy Δεν υπάρχουν Σχόλια3 Mins Read


    Οι απειλές στον κυβερνοχώρο αλλάζουν τον τρόπο με τον οποίο προσεγγίζουν τα θύματα. Ένα εγκληματικό δίκτυο με οικονομικά κίνητρα που ονομάζεται Payroll Pirates επιτίθεται αθόρυβα σε συστήματα μισθοδοσίας, πιστωτικές ενώσεις και πλατφόρμες συναλλαγών σε όλες τις Ηνωμένες Πολιτείες από τα μέσα του 2023.

    Το όπλο της επιλογής τους είναι η κακή διαφήμιση, όπου οι ψεύτικες διαφημίσεις εμφανίζονται στις μηχανές αναζήτησης και εξαπατούν τους χρήστες να επισκεφτούν ιστότοπους ηλεκτρονικού ψαρέματος. Μόλις οι εργαζόμενοι εισάγουν τα στοιχεία σύνδεσής τους σε αυτές τις ψεύτικες σελίδες, οι εισβολείς κλέβουν τις πληροφορίες και ανακατευθύνουν τις μισθών στους δικούς τους τραπεζικούς λογαριασμούς.

    Αυτή η οργανωμένη λειτουργία έχει αναπτυχθεί με την πάροδο του χρόνου, στοχεύοντας σε περισσότερες από 200 διαφορετικές πλατφόρμες και παγιδεύοντας πάνω από 500.000 χρήστες.

    Η καμπάνια ξεκίνησε με το Google Ads που προωθούσε ψεύτικους ιστότοπους μισθοδοσίας. Όταν οι εργαζόμενοι αναζήτη την πύλη ανθρώπινου δυναμικού της εταιρείας τους, είδαν αυτές τις χορηγούμενες διαφημίσεις στην κορυφή των αποτελεσμάτων αναζήτησης.

    Κάνοντας κλικ στη διαφήμιση, τους οδήγησαν σε έναν ιστότοπο phishing που έμοιαζε ακριβώς με τη σελίδα σύνδεσης της πραγματικής μισθοδοσίας τους. Μετά την εισαγωγή ονομάτων χρήστη και κωδικών πρόσβασης, τα κλεμμένα διαπιστευτήρια στάλθηκαν απευθείας στους εισβολείς μέσω κρυφών καναλιών επικοινωνίας.

    Ερευνητές ασφαλείας Check Point αναγνωρισθείς αυτό το δίκτυο τον Μάιο του 2023, όταν παρατήρησαν πολλούς ιστότοπους phishing που αντιγράφουν πλατφόρμες μισθοδοσίας.

    Η έρευνα αποκάλυψε ότι διαφορετικές ομάδες συνεργάζονταν, μοιράζοντας τα ίδια εργαλεία και μεθόδους επίθεσης, αλλά η καθεμία είχε τους δικούς της τομείς και τρόπους συλλογής κλεμμένων πληροφοριών.

    Μέχρι τον Νοέμβριο του 2023, οι επιθέσεις σταμάτησαν προσωρινά. Ωστόσο, τον Ιούνιο του 2024, οι εγκληματίες επέστρεψαν με καλύτερα εργαλεία. Οι νέες σελίδες ηλεκτρονικού “ψαρέματος” θα μπορούσαν πλέον να καταργήσουν τον έλεγχο ταυτότητας δύο παραγόντων χρησιμοποιώντας bots του Telegram που μιλούσαν με τα θύματα σε πραγματικό χρόνο.

    Λειτουργεί η υπηρεσία απόκρυψης διαφημίσεων (Πηγή - Σημείο ελέγχου)
    Λειτουργεί η υπηρεσία απόκρυψης διαφημίσεων (Πηγή – Σημείο ελέγχου)

    Όταν ένας χρήστης εισήγαγε τον κωδικό πρόσβασής του, το bot ζητούσε αμέσως τον κωδικό επαλήθευσης ή ερωτήσεις ασφαλείας. Το ενημερωμένο σύστημα χρησιμοποίησε επίσης επανασχεδιασμένα σενάρια υποστήριξης που έκαναν τον εντοπισμό πολύ πιο δύσκολο.

    Αντί για προφανή σημεία συλλογής δεδομένων, οι εισβολείς χρησιμοποίησαν τώρα κρυφά σενάρια PHP με απλά ονόματα όπως xxx.php, check.php και analytics.php για να στείλουν κλεμμένες πληροφορίες χωρίς να γίνουν αντιληπτοί.

    Μηχανισμός κλοπής διαπιστευτηρίων σε πραγματικό χρόνο

    Το πιο επικίνδυνο μέρος αυτής της επιχείρησης είναι το πώς οι επιτιθέμενοι παρακάμπτουν τα μέτρα ασφαλείας. Όταν ένα θύμα προσγειωθεί στην ψεύτικη σελίδα σύνδεσης και εισάγει τα διαπιστευτήριά του, οι πληροφορίες αποστέλλονται αμέσως στους χειριστές μέσω ενός bot Telegram.

    Αυτό το bot λειτουργεί ως το κέντρο ελέγχου για ολόκληρο το δίκτυο, χειριζόμενος αιτήματα ελέγχου ταυτότητας δύο παραγόντων σε όλους τους διαφορετικούς τύπους στόχων, συμπεριλαμβανομένων των πιστωτικών ενώσεων, των συστημάτων μισθοδοσίας, των πυλών παροχών υγειονομικής περίθαλψης και των πλατφορμών συναλλαγών.

    Ροή επίθεσης, υποδομή και εξέλιξη (Πηγή - Σημείο ελέγχου)
    Ροή επίθεσης, υποδομή και εξέλιξη (Πηγή – Σημείο ελέγχου)

    Το bot στέλνει ειδοποιήσεις στους χειριστές που στη συνέχεια αλληλεπιδρούν με τα θύματα ζητώντας κωδικούς μίας χρήσης και απαντήσεις ασφαλείας σε πραγματικό χρόνο.

    Αυτή η άμεση επικοινωνία γίνεται μέσα σε λίγα δευτερόλεπτα, καθιστώντας σχεδόν αδύνατο για τα θύματα να συνειδητοποιήσουν ότι έχουν υποστεί απάτη μέχρι να είναι πολύ αργά.

    Τα κιτ phishing χρησιμοποιούν δυναμικά στοιχεία που αλλάζουν με βάση τα μέτρα ασφαλείας που χρησιμοποιεί κάθε πλατφόρμα στόχος. Οι σελίδες προσαρμόζονται αυτόματα φορτώνοντας διαφορετικές φόρμες ανάλογα με το αν ο πραγματικός ιστότοπος ζητά ερωτήσεις ασφαλείας, επαλήθευση ηλεκτρονικού ταχυδρομείου ή έλεγχο ταυτότητας για κινητά.

    Τα σενάρια υποστήριξης επικοινωνούν αθόρυβα με τους χειριστές μέσω κρυπτογραφημένων καναλιών, διατηρώντας όλη τη συλλογή δεδομένων κρυμμένη από τα εργαλεία παρακολούθησης δικτύου.

    Αυτό καθιστά σχεδόν αδύνατο να διαταραχθεί η υποδομή, επειδή δεν υπάρχουν εκτεθειμένα τελικά σημεία που οι ομάδες ασφαλείας μπορούν εύκολα να αποκλείσουν ή να καταργήσουν.



    VIA: cybersecuritynews.com

    Related Posts


    Το νέο KomeX Android RAT διαφημίζεται σε φόρουμ χάκερ με πολλαπλές επιλογές συνδρομής
    Security
    Τεράστια επίθεση ηλεκτρονικού ψαρέματος Μίμηση ως ταξιδιωτικές επωνυμίες που επιτίθενται σε χρήστες με 4.300 κακόβουλους τομείς
    Security
    Η Google μήνυσε το κιτ ηλεκτρονικού “ψαρέματος” ως υπηρεσία “Lighthouse” πίσω από μαζικές επιθέσεις phishing
    Security
    Share.

    Ο Δημήτρης είναι παθιασμένος με την τεχνολογία και τις καινοτομίες της Samsung. Αγαπά να εξερευνά νέες ιδέες, να λύνει προβλήματα και να μοιράζεται τρόπους που κάνουν την τεχνολογία πιο ανθρώπινη και απολαυστική.

    Related Posts

    Add A Comment
    Leave A Reply