Počela je sofisticirana kampanja fišinga usmjerena na građane Ujedinjenog Kraljevstva, koja se predstavlja kao zvanična komunikacija Odjeljenja za rad i penzije (DWP) s ciljem krađe osjetljivih finansijskih podataka.
Ova aktivnost, koja je prisutna od kraja maja 2025. godine, predstavlja značajnu eskalaciju napada inženjeringom socijalnog uticaja na britanske stanovnike, iskorištavajući zabrinutost oko državnih beneficija i sezonskih dodataka.
U napadu se kao primarni vektor koristi SMS poruka, putem koje se distribuiraju prevarantske poruke upozoravajući primaoce na propuštene prijave za dodatak za grijanje tokom zime.
Ovim porukama se stvara osjećaj hitnosti, sugerišući da je neophodno odmah djelovati kako bi se izbjegao gubitak ključne finansijske podrške tokom zimskih mjeseci.
Psihološka manipulacija je posebno efikasna jer se ciljaju ranjive populacije koje ovise o programima državne pomoći.
Analitičari Gen Threat Labs su identifikovali vrhunac aktivnosti kampanje u drugoj polovini juna 2025., što ukazuje na koordinisan napor da se maksimizira uticaj u periodu kada bi građani bili najzabrinutiji za dodatke za grijanje.
Istraživači su primijetili da kampanja koristi skraćene URL-ove kako bi prikrila zlonamjernu destinaciju, vodeći nesuđene žrtve na uvjerljive replike web stranica koje detaljno oponašaju zvanične DWP portale.
Infrastruktura fišinga primjenjuje napredne tehnike skraćivanja URL-ova u kombinaciji sa spoofingom domena radi izbjegavanja mehanizama za detekciju.
Napadajući registruju domene koji blisko podsjećaju na legitimne vladine web stranice, koristeći tehnike poput typosquattinga i homografskih napada.
Ove lažne stranice su dizajnirane s pedantnom pažnjom na detalje, uključujući zvanični DWP brending, logotipe i strukture rasporeda radi uspostavljanja kredibiliteta.
Skraćeni linkovi služe višestrukoj svrsi izvan puke obfuskacije.
Omogućavaju napadačima da prate stope klikova, analiziraju demografiju žrtava i implementiraju uslovne preusmjeravanja na osnovu stringova korisničkog agenta ili geografskih lokacija.
Ovo prikupljanje podataka omogućava akterima prijetnje da usavrše svoje strategije ciljanja i optimizuju stope konverzije za svoje operacije prikupljanja akreditiva.
Nakon što žrtve pristupe ovim zlonamjernim stranicama, nailaze na obrasce koji zahtijevaju sveobuhvatne lične podatke, uključujući podatke o kreditnim karticama, bankarske informacije i podatke za provjeru identiteta, pod izgovorom obrade zahtjeva za beneficije.
Informacija je objavljena na mreži X (ranije Twitter) od strane Gen Threat Labs, gdje je upozoreno na ciljanu SMS kampanju koja oponaša DWP i koristi skraćene linkove koji vode na lažne vladine web stranice. Kampanja je kulminirala u drugoj polovini juna. Poruke upozoravaju na propuštene prijave za dodatak za grijanje, a opisuju se kao phishing napad koji je aktivan od kasnog maja. Detaljnije, napad koristi SMS poruke kao glavni vektor širenja, šaljući poruke upozorenja o propuštenim prijavama za dodatak za grijanje. Cilj je da se kod korisnika stvori osjećaj hitnosti kako bi požurili da “poprave” svoju situaciju, što ih dovodi do lažnih web stranica. Ove stranice su vješto kreirane da izgledaju kao zvanični portali DWP-a, koristeći poznate logotipe i vizuelni identitet kako bi stekli povjerenje. Kroz ove falsifikovane stranice, prevaranti pokušavaju da ukradu lične i finansijske podatke žrtava, uključujući podatke o kreditnim karticama i bankovnim računima. Metodologija napada uključuje korišćenje skraćenih URL-ova koji prikrivaju pravu, zlonamjernu destinaciju. Ovi skraćeni linkovi također omogućavaju napadačima da prate interakciju žrtava, analiziraju njihove karakteristike i primjenjuju ciljane strategije na osnovu podataka o korisnicima i njihovoj lokaciji. Sve ovo se radi kako bi se maksimizirala efikasnost u krađi podataka.
