Group IB

В Германии пользователей электронного банкинга атакуют с помощью QR-кодов

13.12.2021
В Германии пользователей электронного банкинга атакуют с помощью QR-кодов

Новая фишинговая кампания, нацеленная на немецких пользователей электронного банкинга, использует QR-коды для получения учетных данных, пишет Хакер.

О новой компании предупредили специалисты компании  Cofense. Они пишут, что фишинговые письма преступников тщательно продуманы, содержат логотипы банков, структурированный контент и, как правило, хорошо написаны. Темы таких посланий различаются: пользователя могут просить дать согласие на изменившуюся политику обработки данных, или прикрываться запросом на пересмотр процедур безопасности.

При нажатии встроенной в письмо кнопки жертва попадает на фишинговый сайт, пройдя через службу feed-прокси Google FeedBurner. Также для этих перенаправлений хакеры регистрируют и собственные домены. Исследователи говорят, что этот дополнительный шаг направлен на обман защитных решений, чтобы те не замечали переходов по подозрительным ссылкам и самих ссылок. Как правило, такие домены недавно зарегистрированы на REG.RU и имеют стандартную структуру URL (в зависимости от целевого банка).

Однако в последних фишинговых кампаниях злоумышленники стали использовать для перенаправления жертв на фишинговые сайты QR-коды вместо встроенных кнопок. По сути, такие письма не содержат URL-адресов в виде открытого текста, что дополнительно затрудняет их обнаружение. Также эксперты говорят, что QR-коды более эффективны, так как нацелены на мобильных пользователей, которые с меньшей вероятностью  защищены антивирусным ПО.

На фишинговом сайте мошенников пользователю предлагается сообщить такие данные, как местонахождение банка, код, имя пользователя и PIN-код. Затем жертва какое-то время ожидает проверки, но вскоре ей предлагается ввести свои учетные данные снова, так как якобы в первый раз что-то пошло не так. Такое повторение является распространенной среди злоумышленников тактикой, и используется для выявления опечаток, которые пользователь мог допустить, вводя учетные данные в первый раз.

Эксперты напоминают: неважно насколько легитимным выглядит email, следует избегать кликов по каким-либо кнопкам, URL-адресам и даже QR-кодам, которые приведут на некий внешний сайт.