Campanha massiva de phishing usa 6.000 sites para se passar por 100 marcas
14 de Junho de 2023

Uma ampla campanha de falsificação de marcas tem como alvo mais de cem marcas populares de roupas, calçados e vestuário e está em andamento desde junho de 2022, enganando pessoas a inserirem suas credenciais de conta e informações financeiras em sites falsos.

As marcas falsificadas pelos sites fraudulentos incluem Nike, Puma, Asics, Vans, Adidas, Columbia, Superdry Converse, Casio, Timberland, Salomon, Crocs, Sketchers, The North Face, UGG, Guess, Caterpillar, New Balance, Fila, Doc Martens, Reebok, Tommy Hilfiger e outras.

De acordo com a equipe de pesquisa de ameaças da Bolster, que descobriu a campanha, ela depende de pelo menos 3.000 domínios e cerca de 6.000 sites, incluindo os inativos.

A Bolster relata que a campanha teve um pico significativo de atividade entre janeiro e fevereiro de 2023, adicionando 300 novos sites falsos mensalmente.

Os nomes de domínio seguem um padrão de usar o nome da marca junto com uma cidade ou país, seguido por um TLD genérico como ".com".

Os pesquisadores afirmam que a campanha operou mais de dez sites falsos para Nike, Puma e Clarks, apresentando um design muito semelhante aos sites oficiais das marcas.

Esses domínios fraudulentos foram rastreados até o número do sistema autônomo AS48950 e foram hospedados por dois provedores de serviços de internet, Packet Exchange Limited e Global Colocation Limited.

A maioria é registrada através do Alibaba.com Singapore, e a idade do domínio varia de dois anos a 90 dias.

A idade do domínio é um fator crucial em operações de phishing, pois quanto mais tempo um domínio permanecer vivo, mas permanecer inócuo, menos provável é que ele seja sinalizado por ferramentas de segurança como suspeito.

Deixar um domínio envelhecer por pelo menos dois anos é algo que a Confiant relatou no ano passado, observando a tática em uma campanha global de malvertising que a tem usado com sucesso desde 2018.

Na campanha descoberta pela Bolster, muitos dos domínios maliciosos sobreviveram tanto tempo sem serem relatados que o Google Search os indexou e agora provavelmente têm uma classificação alta para termos de pesquisa específicos.

Essa é uma estratégia particularmente eficaz para atrair usuários incautos a visitar um site de phishing, pois a maioria das pessoas associa a alta classificação no Google Search com credibilidade e confiabilidade.

O BleepingComputer navegou em páginas de alguns desses sites e descobriu que eles não são clones construídos às pressas, pois apresentam páginas de "Sobre nós" realistas, incluem detalhes de contato, as páginas de pedidos funcionam como esperado e geralmente são difíceis de identificar como suspeitos.

A estratégia exata de fraude seguida nesta campanha é desconhecida, mas a Bolster sugere que os sites nunca enviam os produtos pelos quais os clientes pagam ou enviam imitações chinesas.

Além disso, quaisquer detalhes inseridos nas páginas de checkout, especialmente os detalhes do cartão de crédito, podem ser armazenados pelos operadores do site e revendidos a criminosos cibernéticos.

Ao procurar o site oficial de uma marca, ignore todos os resultados promovidos no Google Search.

Se ainda estiver em dúvida, verifique a página da Wikipedia ou os canais de mídia social da marca para obter a URL legítima.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...