Hiina häkkimisrühmitus nimega "Fangxiao" kasutab laialt levinud andmepüügikampaanias ohvrite sihikule seadmiseks tuhandeid võltsitud domeene.
Tuhanded inimesed on Fangxiao andmepüügikampaania ohus
Hiina häkkimisrühmituse "Fangxiao" korraldatud ulatuslik andmepüügikampaania seab ohtu tuhanded inimesed. See kampaania on andmepüügirünnakute hõlbustamiseks kasutanud 42 000 petturi domeeni. Need petturidomeenid on loodud kasutajate ümbersuunamiseks reklaamvara (reklaami pahavara) rakendustele, kingitustele ja tutvumissaitidele.
Cyjax, küberturvalisuse ja ohulahenduste ettevõte, avastas selles kampaanias kasutatud 42 000 võltsdomeeni. Sees Cyjaxi ajaveebi postitus Emily Dennison ja Alana Witten kirjeldasid pettust kui keerukat ja võimet "maine ära kasutada rahvusvahelised usaldusväärsed kaubamärgid mitmes vertikaalis, sealhulgas jaekaubandus, pangandus, reisimine, ravimid, reisimine ja energia".
Kelmus algab a pahatahtlik WhatsAppi sõnum, kus esinetakse usaldusväärse kaubamärgina. Selliste kaubamärkide näideteks on Emirates, Coca-Cola, McDonald's ja Unilever. See sõnum annab adressaadile lingi veebilehele, mis annab ahvatleva tunde. Ümbersuunamise sait sõltub nii sihtmärgi IP-aadressist kui ka kasutajaagendist.
Näiteks võib McDonald's väita, et teeb tasuta kingituse. Kui ohver on kingituseks registreerumise lõpetanud, laaditakse alla Triada Trooja pahavara saab käivitada. Pahavara saab installida ka konkreetse rakenduse allalaadimisel, mille ohvritel palutakse installida, et loosimises osalemist jätkata.
Ründajad, keda kaitseb CloudFlare
Cyjax märkis oma ajaveebipostituses selle kampaania kohta, et Fangxiao infrastruktuuri kaitseb enamasti CloudFlare, Ameerika sisuedastusvõrk (CDN). Samuti märgiti, et petisdomeenid loodi GoDaddy, Namecheapi ja Wixi kaudu ning nende nimesid vahetati sageli.
Enamik neist andmepüügidomeenidest registreeriti domeeniga .top, ülejäänud olid enamasti registreeritud domeenidega .cn, .cyou, .xyz, .tech ja .work.
Fangxiao grupp pole midagi uut
Fangxiao häkkimisrühm on tegutsenud juba mõnda aega. Cyjax märkas selles kampaanias kasutatavaid domeene esmakordselt 2019. aastal ja sellest ajast alates on nende arv kasvanud. 2022. aasta oktoobris lisas Fangxiao vaid ühe päevaga üle 300 unikaalse domeeni.
Grupi asukoht ei ole 100% Hiinas, kuid Cyjax on selle asukoha kindlaks määranud suure usaldusväärsusega. Selle üheks indikaatoriks on mandariini kasutamine ühes rühma avatud juhtpaneelidest. Cyjax oletas ka, et kampaania eesmärk on tõenäoliselt rahaline kasu.
Andmepüügikampaaniad on tõusuteel
Andmepüük on tänapäeval üks populaarsemaid küberkuritegevuse taktikaid ja seda võib esineda erinevates vormides. Andmepüügirünnakuid, eriti neid, mis on väga keerukad, võib olla keeruline tuvastada. Rämpspostifiltreid ja viirusetõrjeprogramme saab kasutada andmepüügirünnakute leevendamiseks, kuid siiski on oluline usaldada oma sisetunnet ja vältida igasugust suhtlust, mis ei tundu päris õige.
