Stručnjaci za sajber sigurnost su identifikovali sofisticiranu phishing kampanju koja je posebno ciljala na porezne obveznike putem njihovih mobilnih uređaja.
Napadi podstiču povećanu anksioznost poreskih obveznika u poslednjem trenutku, stvarajući savršenu oluju za sajber kriminalce koji žele da sakupe osetljive lične i finansijske informacije.
Ovi napadi su se skoro učetvorostručili od početka februara, a istraživači su primijetili značajan porast krajem mjeseca jer poreski obveznici žure da dovrše svoje prijave.
Kampanja prvenstveno koristi SMS tekstualne poruke kao inicijalni vektor napada, pri čemu prevaranti koriste hitan govor o zadržavanju povrata poreza ili prijeteći pravnim posljedicama za neplaćanje.
.webp)
Kada primaoci kliknu na ugrađene veze, usmjeravaju se na uvjerljive replike web stranica Poreske uprave posebno dizajnirane za hvatanje ličnih podataka, uključujući brojeve socijalnog osiguranja i finansijske detalje.
Skoro polovina svih poreskih obveznika završi svoje prijave između sredine marta i 15. aprila, stvarajući okruženje bogato ciljevima za ove napade.
McAfee istraživači su utvrdili da ovi napadi koriste sofisticirane tehnike lažiranja domena, često preplićući “irs.gov” u zlonamjerne URL-ove kako bi stvorili lažni osjećaj legitimnosti.
Primjeri uključuju domene poput “irs.gov.entes-tax[dot]com” i “irs.gov.tax-pleas[dot]com” koje na prvi pogled izgledaju službeno, ali zapravo usmjeravaju korisnike na lažne web stranice koje kontrolišu napadači. Skraćivači linkova se često koriste da dodatno prikriju odredište ovih malicioznih veza .
Tehnike lažiranja domena
Tehnička sofisticiranost ovih napada leži u njihovoj sposobnosti da oponašaju legitimnu komunikaciju Poreske uprave i web infrastrukturu.
Analizirajući infrastrukturu napada, sigurnosni istraživači su otkrili da lažne stranice koriste napredne tehnike vizualne mimikrije kako bi replicirale službenu web stranicu Porezne uprave.
Ove stranice često sadrže zvanične logotipe IRS-a, šeme boja i izgled stranica po kojima se gotovo ne razlikuju od legitimnih vladinih stranica.
.webp)
Napadači su razvili prilagođeni okvir koji se dinamički prilagođava parametrima mobilnog uređaja, osiguravajući da se phishing stranice pravilno prikazuju bez obzira na veličinu ekrana ili operativni sistem.
Lanac infekcije počinje početnom SMS porukom, koja obično sadrži skraćeni URL koristeći uobičajene usluge kao što su bit.ly ili prilagođeni skraćivači.
Ove veze preusmjeravaju kroz više tačaka skoka prije nego što stignu na završnu phishing stranicu, čineći tradicionalno filtriranje URL-ova manje efikasnim.
Završne odredišne stranice koriste HTTPS certifikate s nazivima koji uključuju pojmove kao što su “porez”, “porez” ili “povrat” kako bi se dodatno stvorila iluzija legitimnosti.
Kada se lični podaci dostave, oni se odmah prenose na komandne i kontrolne servere, koji se često nalaze u jurisdikcijama van domašaja američkih organa za sprovođenje zakona.
Kako bi se zaštitili, porezni obveznici bi trebali provjeriti svu komunikaciju direktno putem službene web stranice Poreske uprave i biti oprezni zbog znakova upozorenja ovih sve sofisticiranijih napada.
Izvor: CyberSecurityNews
