فیشینگ: این بار جعل هویت فایزر!

فیشینگ: این بار جعل هویت فایزر!

در یک کمپین فیشینگ جدید، هکر ها با جعل هویت فایزر به سرقت اطلاعات تجاری و مالی قربانیان میپردازند. فایزر یک شرکت داروسازی معروف است که از تبلیغات گسترده ای برای تولید یکی از معدود واکسن های mRNA موجود برای کووید-19 برخوردار است.هدف هکران، سوء استفاده از نام های تجاری است که به طور گسترده ای شناخته شده اند، زیرا شانس موفقیت آنها در مقایسه با جعل هویت یک سازمان غیر واقعی و نامعتبر به طور چشمگیری افزایش می یابد.

در یک کمپین فیشینگ جدید، هکر ها با جعل هویت فایزر به سرقت اطلاعات تجاری و مالی قربانیان میپردازند. فایزر یک شرکت داروسازی معروف است که از تبلیغات گسترده ای برای تولید یکی از معدود واکسن های mRNA موجود برای کووید-19 برخوردار است.هدف هکران، سوء استفاده از نام های تجاری است که به طور گسترده ای شناخته شده اند، زیرا شانس موفقیت آنها در مقایسه با جعل هویت یک سازمان غیر واقعی و نامعتبر به طور چشمگیری افزایش می یابد.

در گزارش جدید INKY توضیح داده شده که هکرهای جاعل هویت Pfizer در یک کمپین ایمیل فیشینگ هستند که در حدود ۱۵ اوت ۲۰۲۱ آغاز شده است. هکران پشت این کمپین در عملیات فیشینگ خود بسیار تواندمند هستند در حدی که حتی پیوست‌های پی‌دی‌اف را با دامنه‌های ثبت‌شده جدید که به‌عنوان فضاهای آنلاین رسمی Pfizer ظاهر می‌شوند، ترکیب می‌کنند.

سپس، حساب‌های ایمیل را از این دامنه‌ها برای توزیع ایمیل فیشینگ ایجاد می‌کنند تا سرویس های محافظت از ایمیل را دور بزنند. دامنه ها از طریق Namecheap ثبت شده اند، که ارز دیجیتال را به عنوان یک روش پرداخت می پذیرد و به هکران اجازه می دهد ناشناس بمانند.

برخی از نمونه های مشاهده شده توسط INKY عبارتند از:

pfizer-nl[.]com

pfizer-bv[.]org

pfizerhtlinc[.]xyz

pfizertenders[.]xyz

اولین مورد، pfizer-nl[.]com، ممکن است کسی را فریب دهد تا تصور کند این پورتال رسمی آنلاین Pfizer هلند است، کشوری که این شرکت در آن دفتر دارد.

 

یک تله ظریف!

خطوط موضوع معمولاً شامل نقل قول های فوری، دعوت به مناقصه، و موضوعات مرتبط با تامین تجهیزات صنعتی است، همانطور که در زیر نشان داده شده است.

Phishing email sample
Source: INKY

به دلیل گسترش بی رویه انواع جدید COVID-19، هکران فیشینگ مشکل چندانی در گنجاندن احساس فوریت در این ایمیل ها ندارند.

در اکثر 400 نمونه مشاهده شده توسط تحلیلگران INKY، هکرها از یک سند PDF سه صفحه‌ای با ظاهر حرفه‌ای استفاده می‌کنند که در مورد تاریخ‌های سررسید، شرایط پرداخت و سایر جزئیاتی که یک درخواست مشروع دارد با نمونه اورجینال فایزر بسیار شباهت دارد.

PDF حاوی لینک‌های حذف بدافزار یا آدرس‌های اینترنتی فیشینگ نیست که پرچم‌هایی را روی ابزارهای امنیتی ایمیل ایجاد کند و حتی حاوی هیچ غلط املایی نیست که تقلب را آشکار کند.

The three-page PDF document sent to targets
Source: INKY

 

با این حال، از گیرندگان درخواست می‌شود که اطلاعات خود را به آدرس‌های دامنه Pfizer جعل شده، مانند quote@pfizerbvl[.]com یا quotation@pfizersupplychain[.]com ارسال کنند. در حالی که هدف دقیق کمپین مشخص نیست، این واقعیت که شرایط پرداخت در PDF گنجانده شده است، نشانه‌ای است که عوامل تهدید از گیرنده درخواست می‌کنند تا جزئیات بانکی خود را در به اشتراک بگذارد.

اگر اطلاعات پرداخت ارائه شود، مهاجمان می توانند از آن در کمپین های بعدی BEC که علیه مشتریان شرکت مورد نظر استفاده می شود استفاده کنند.

همچنین، هکرها در اولین تماس جزئیات شخصی را درخواست نمی‌کنند، که قربانتیان را گمتر دچار شک و شبه میکند. پاسخ دادن به این ایمیل‌ها تنها قربانی را به سمت فریب عمیق‌تر سوق می‌دهد، زیرا آنها امیدوارند با یک شرکت معتبر قراردادی پرسود امضا کنند.

هنگام دریافت ایمیل‌هایی با درخواست‌های غیرمعمول مناقصه، همیشه بهتر است که با شرکت مورد نظر تماس بگیرید و شخصا از فرد مسئول استعلام بگیرید.اگر شخص در شرکت کار نمی کند یا از این ایمیل ها بی اطلاع است، می توانید درخواست ها را نادیده بگیرید و ایمیل ها را حذف کنید.

منبع: www.bleepingcomputer.com