„AccountDumpling“ sukčiavimo kampanija
Nustatyta, kad didelio masto kibernetinių nusikaltėlių kampanija, priskiriama su Vietnamu susijusiai grėsmių grupei ir pavadinta „AccountDumpling“, naudoja „Google AppSheet“ kaip sukčiavimo apsimetant platformas. Ši operacija platina apgaulingus el. laiškus, kurių pagrindinis tikslas – pakenkti „Facebook“ paskyroms, ypač toms, kurios susijusios su verslo vartotojais.
Skirtingai nuo įprastų sukčiavimo apsimetant kampanijų, tai nėra statiškas įrankių rinkinys, o dinamiška ir nuolat besivystanti ekosistema. Ji apima realaus laiko operatorių ataskaitų suvestines, pažangius apėjimo metodus ir struktūrizuotą pajamų gavimo kanalą. Pavogtos paskyros nukreipiamos atgal į užpuolikų kontroliuojamą pogrindinę rinką, sukuriant savarankišką nusikalstamą kilpą. Šios kampanijos metu buvo pažeista apie 30 000 „Facebook“ paskyrų.
Turinys
Pasitikėjimas ginklu: „Google AppSheet“ išnaudojimas el. laiškų pristatymui
Atakų grandinė prasideda kruopščiai parengtais sukčiavimo el. laiškais, apsimetančiais „Meta Support“ asmeniu. Šie pranešimai skirti „Facebook Business“ paskyrų savininkams, įspėjant juos apie gresiantį paskyros ištrynimą, jei nebus imtasi neatidėliotinų veiksmų. Aukos raginamos pateikti apeliacijas per įterptas nuorodas.
Pagrindinis kampanijos veiksmingumo veiksnys yra teisėtos infrastruktūros naudojimas. El. laiškai siunčiami iš „Google AppSheet“ adreso („noreply@appsheet.com“), todėl jie gali apeiti daugelį tradicinių šlamšto ir saugumo filtrų. Ši taktika padidina patikimumą ir padidina vartotojų įsitraukimo tikimybę.
Šiuose pranešimuose perteikiamas skubumas nukreipia gavėjus į apgaulingas svetaines, skirtas konfidencialiai informacijai gauti. Panašūs atakų modeliai buvo pastebėti ir ankstesnėse kampanijose, o tai rodo nuolatinį sėkmingų metodų tobulinimą ir pakartotinį naudojimą.
Psichologinė manipuliacija: inžinerijos „metapanika“
Užpuolikai naudoja įvairias socialinės inžinerijos masalus, kad sukeltų paniką ir priverstų vartotojus greitai reaguoti. Šie masalai yra strategiškai sukurti taip, kad imituotų teisėtą „Meta“ komunikaciją ir išnaudotų baime pagrįstus scenarijus.
Pagrindinės masalų kategorijos apima:
Su paskyra susijusios grėsmės : teiginiai apie paskyros sustabdymą, autorių teisių pažeidimus arba skubius patvirtinimo reikalavimus.
Saugumo įspėjimai : pranešimai apie įtartinus prisijungimus arba privalomus saugumo patikrinimus
Verslo ir statuso skatinimo priemonės : mėlynojo ženklelio patvirtinimo pasiūlymai arba vadovų įdarbinimo galimybės
Įmonių apsimetinėjimas : netikri darbo pasiūlymai iš žinomų prekių ženklų, siekiant sukurti pasitikėjimą ir paskatinti įsitraukimą.
Kiekvienas masalas yra pritaikytas manipuliuoti naudotojo elgesiu, padidinant kredencialų atskleidimo tikimybę.
Daugiakanalė sukčiavimo atakų infrastruktūra: įvairūs teikimo mechanizmai
Kampanijai būdingas kelių prieglobos platformų ir pristatymo metodų naudojimas, kurių kiekvienas atlieka konkretų vaidmenį renkant duomenis ir juos išgaunant. Keturi pagrindiniai atakų klasteriai apima:
- „Netlify“ talpinami sukčiavimo puslapiai: netikri „Facebook“ pagalbos centro portalai, skirti prisijungimo duomenims, asmens duomenims ir vyriausybės išduotiems asmens tapatybės dokumentams rinkti. Surinkti duomenys perduodami užpuoliko kontroliuojamiems „Telegram“ kanalams.
- „Vercel“ talpinami „saugos patikros“ puslapiai: šie puslapiai imituoja „Meta“ privatumo arba saugumo portalus ir apima netikrus CAPTCHA iššūkius. Aukos raginamos iš naujo įvesti prisijungimo duomenis ir pateikti dviejų veiksnių autentifikavimo (2FA) kodus, kurie visi išfiltruojami realiuoju laiku.
- „Google“ diske talpinami PDF failai: šie dokumentai, užmaskuoti kaip oficialios patvirtinimo instrukcijos, nukreipia vartotojus į sukčiavimo puslapius, kurie renka slaptažodžius, 2FA kodus, asmens tapatybės nuotraukas ir net naršyklės ekrano kopijas naudodami įterptuosius scenarijus.
- Netikri įdarbinimo procesai: apsimetinėjimas didelėmis įmonėmis siekiant įtvirtinti patikimumą, po kurio nukreipiama į kenkėjiškas platformas tolesnei sąveikai ir duomenų rinkimui.
Su šiomis grupėmis susietuose „Telegram“ kanaluose iš viso yra apie 30 000 aukų įrašų. Nukentėjusieji asmenys daugiausia yra Šiaurės Amerikoje, Europoje, Azijoje ir Australijoje, daugelis jų prarado prieigą prie savo paskyrų.
Priskyrimo įžvalgos: kampanijos dalyvių atsekimas
Svarbūs priskyrimo įrodymai gauti iš metaduomenų, įterptų į sukčiavimo PDF failus, sugeneruotus naudojant nemokamą „Canva“ paskyrą. Failuose kaip autorius nurodytas „PHẠM TÀI TÂN“, pateikiant tiesioginę nuorodą į asmenį, galimai atsakingą už operaciją.
Tolesnė atvirojo kodo žvalgyba atskleidė atitinkamą svetainę „phamtaitan.vn“, kuri reklamuoja skaitmeninės rinkodaros paslaugas. Su šiuo subjektu susiję vieši pareiškimai rodo, kad dėmesys sutelkiamas į rinkodaros išteklius ir strategines konsultacijas, o tai rodo dvejopą įgūdžių panaudojimą, kurį galima panaudoti tiek teisėtiems, tiek kenkėjiškiems tikslams.
Pogrindinė ekonomika: pažeistų skaitmeninių tapatybių monetizavimas
Ši kampanija iliustruoja platesnę kibernetinių nusikaltimų tendenciją: skaitmeninių tapatybių pavertimą preke. Pažeistos „Facebook“ paskyros yra ne tik galiniai taškai, bet ir vertingas turtas klestinčioje pogrindinėje rinkoje.
Užpuolikai keičiasi prieiga prie paskyrų remdamiesi tokiais veiksniais kaip verslo priklausomybė, reklamos istorija ir atkūrimo galimybės. Ši operacija parodo, kaip patikimos platformos, tokios kaip „Google AppSheet“, „Netlify“, „Vercel“ ir kitos, yra panaudojamos kaip infrastruktūros sluoksniai, skirti pristatymui, talpinimui ir monetizavimui.
„AccountDumpling“ kampanija yra aiškus pavyzdys, kaip šiuolaikiniai grėsmių veikėjai integruoja socialinę inžineriją, debesijos paslaugas ir pogrindinę ekonomiką į darnią ir keičiamo mastelio kibernetinių nusikaltimų įmonę.
