Η Check Point Research (CPR) παρουσιάζει την έκθεση 2021 Q4 Brand Phishing Report, στην οποία επισημαίνει τις κορυφαίες μάρκες που μιμήθηκαν οι χάκερς στις προσπάθειες τους να αποκομίσουν με δόλο προσωπικά δεδομένα τρίτων. Με την αύξηση των περιπτώσεων COVID και την άφιξη της εορταστικής περιόδου, η DHL έβαλε τέλος στη μακρόχρονη κυριαρχία της Microsoft ως η μάρκα που μιμούνται συχνότερα οι εγκληματίες του κυβερνοχώρου. Τα μέσα κοινωνικής δικτύωσης παγιώνουν τη θέση τους μεταξύ των τριών κορυφαίων τομέων προς μίμηση σε απόπειρες phishing, καθώς το WhatsApp και το LinkedIn κατατάσσονται υψηλότερα στη λίστα με τα 10 πιο συχνά μιμούμενα εμπορικά σήματα.

  • Το 23% όλων των προσπαθειών phishing το Δ’ τρίμηνο του 2021 σχετιζόταν με την DHL, από μόλις το 9% κατά το Γ’ τρίμηνο.
  • Η Microsoft, η οποία για άλλη μια φορά είχε την πρώτη θέση στην κατάταξη το Γ’ τρίμηνο, αντιπροσωπεύοντας το 29% όλων των προσπαθειών phishing, έπεσε στο 20% των επιθέσεων phishing το Δ’ τρίμηνο.
  • Η FedEx έκανε την εμφάνιση της στην πρώτη δεκάδα της λίστας το Δ’ τρίμηνο του 2021

Το Top 10 των κορυφαίων προς μίμηση εμπορικών σημάτων το 4ο τρίμηνο του 2021

Τα εμπορικά σήματα κατατάσσονται βάσει της συνολική τους εμφάνισης σε απόπειρες phishing:
  1. DHL (σχετίζεται με το 23% όλων των επιθέσεων phishing παγκοσμίως)
  2. Microsoft (20%)
  3. WhatsApp (11%)
  4. Google (10%)
  5. LinkedIn (8%)
  6. Amazon (4%)
  7. FedEx (3%)
  8. Roblox (3%)
  9. Paypal (2%)
  10. Apple (2%)

Για πρώτη φορά, η DHL κατέλαβε την πρώτη θέση το τέταρτο τρίμηνο, αντικαθιστώντας τη Microsoft ως το εμπορικό σήμα που είναι πιο πιθανό να γίνει στόχος κυβερνοεγκληματιών σε απάτες ηλεκτρονικού “ψαρέματος”, καθώς οι δράστες προσπαθούν να επωφεληθούν από τους ευάλωτους διαδικτυακούς καταναλωτές κατά τη διάρκεια της πιο εμπορικής περιόδου του έτους.
Η έκθεση του τέταρτου τριμήνου ενισχύει επίσης μια αναδυόμενη από το τρίτο τρίμηνο τάση που αφορά στα μέσα κοινωνικής δικτύωσης, τα οποία φαίνεται να εδραιώνουν τη θέση τους μεταξύ των τριών κορυφαίων τομέων προς μίμηση σε απόπειρες phishing. Ενώ το Facebook έπεσε από την πρώτη δεκάδα, το WhatsApp μετακινήθηκε από την 6η θέση στην 3η, αντιπροσωπεύοντας πλέον το 11% όλων των προσπαθειών phishing. Επίσης, το LinkedIn έχει μετακινηθεί από την 8η θέση στην 5η, αντιπροσωπεύοντας πλέον το 8% όλων των επιθέσεων που σχετίζονται με το phishing.

 

Τι είναι η επίθεση brand phishing;
Σε μια επίθεση ηλεκτρονικού “brand phishing” , οι εγκληματίες προσπαθούν να μιμηθούν τον επίσημο ιστότοπο μιας γνωστής μάρκας, χρησιμοποιώντας παρόμοιο όνομα τομέα ή διεύθυνση URL και σχεδιασμό ιστοσελίδας με τον γνήσιο ιστότοπο. Ο σύνδεσμος προς τον ψεύτικο ιστότοπο μπορεί να αποσταλεί σε στοχευμένα άτομα μέσω ηλεκτρονικού ταχυδρομείου ή μηνύματος κειμένου. Ο χρήστης μπορεί να ανακατευθυνθεί κατά τη διάρκεια της περιήγησης στον ιστό ή μπορεί να ενεργοποιηθεί από μια δόλια εφαρμογή για κινητά τηλέφωνα. Ο ψεύτικος ιστότοπος περιέχει συχνά μια φόρμα που αποσκοπεί στην κλοπή των διαπιστευτηρίων των χρηστών, των στοιχείων πληρωμής ή άλλων προσωπικών πληροφοριών.
Ο Omer Dembinsky, Data Research Group Manager της Check Point Software, δήλωσε σχετικά: “Είναι σημαντικό να θυμόμαστε ότι οι εγκληματίες του κυβερνοχώρου είναι πρωτίστως καιροσκόποι. Στην προσπάθειά τους να κλέψουν τα προσωπικά δεδομένα μας ή να αναπτύξουν κακόβουλο λογισμικό στο μηχάνημα ενός χρήστη, οι εγκληματικές ομάδες συχνά εκμεταλλεύονται τις καταναλωτικές τάσεις μιμούμενες δημοφιλείς μάρκες. Αυτό το τρίμηνο, για πρώτη φορά, είδαμε την παγκόσμια εταιρεία εφοδιαστικής DHL να βρίσκεται στην κορυφή της κατάταξης ως η πιο πιθανή μάρκα που θα μιμηθούν, προφανώς για να επωφεληθούν από την αλματώδη αύξηση του αριθμού των νέων και δυνητικά ευάλωτων online αγοραστών κατά τη διάρκεια της πολυσύχναστης περιόδου λιανικής πώλησης του έτους. Ιδιαίτερα οι μεγαλύτεροι σε ηλικία χρήστες, οι οποίοι είναι λιγότερο πιθανό να είναι τεχνολογικά εξοικειωμένοι από τις νεότερες γενιές, αν ψωνίζουν online για πρώτη φορά, μπορεί να μην ξέρουν τι να αναζητήσουν όταν πρόκειται για θέματα όπως τα μηνύματα επιβεβαίωσης παράδοσης ή τις ενημερώσεις παρακολούθησης. Επιπλέον, η αύξηση των περιπτώσεων COVID έχει ως αποτέλεσμα οι άνθρωποι να βασίζονται περισσότερο στην υπηρεσία αποστολής και οι εγκληματίες του κυβερνοχώρου είναι πιθανό να προσπαθούν να επωφεληθούν από τους ανθρώπους που επιλέγουν να μην κυκλοφορούν στα φυσικά καταστήματα.
Το 4ο τρίμηνο επιβεβαίωσε επίσης αυτό που πολλοί από εμάς περιμέναμε. Ότι τα μέσα κοινωνικής δικτύωσης θα εξακολουθούσαν να αποτελούν σε μεγάλο βαθμό στόχο κακόβουλων παραγόντων που επιθυμούν να εκμεταλλευτούν όσους στηρίζονται περισσότερο σε κανάλια όπως το WhatsApp, το Facebook και το LinkedIn ως αποτέλεσμα της απομακρυσμένης εργασίας και άλλων επιπτώσεων από την πανδημία. Δυστυχώς, υπάρχει περιορισμός στο τι μπορούν να κάνουν μάρκες όπως η DHL, η Microsoft και η WhatsApp – οι 3 κορυφαίες σε μίμηση μάρκες κατά το τέταρτο τρίμηνο – για να καταπολεμήσουν τις απόπειρες phishing. Είναι πάρα πολύ εύκολο για τον ανθρώπινο παράγοντα να παραβλέψει πράγματα όπως λανθασμένα domains, τυπογραφικά λάθη, λανθασμένες ημερομηνίες ή άλλες ύποπτες λεπτομέρειες, και αυτό είναι που ανοίγει την πόρτα σε περαιτέρω ζημιές.  Θα προτρέπαμε όλους τους χρήστες να προσέχουν πολύ αυτές τις λεπτομέρειες όταν συναλλάσσονται με εταιρείες όπως η DHL τους επόμενους μήνες.
Παράδειγμα Α: Paypal

Κατά τη διάρκεια των εκπτώσεων του Νοεμβρίου, παρατηρήσαμε ένα κακόβουλο μήνυμα ηλεκτρονικού ταχυδρομείου phishing που υποτίθεται ότι εστάλη από την PayPal και προσπαθούσε να κλέψει τις πιστωτικές πληροφορίες των χρηστών.

Εικόνα 1. Κακόβουλο μήνυμα ηλεκτρονικού ταχυδρομείου που εστάλη με θέμα "[Alert] Confirm your PayPal account (Case ID #XX XXXXXXXXXXXX)"
Εικόνα 1. Κακόβουλο μήνυμα ηλεκτρονικού ταχυδρομείου που εστάλη με θέμα “[Alert] Confirm your PayPal account (Case ID #XX XXXXXXXXXXXX)”

 

Σχήμα 2. Αριστερή πλευρά - πλαστή σελίδα σύνδεσης ; Δεξιά πλευρά - πραγματική σελίδα σύνδεσης
Σχήμα 2. Αριστερή πλευρά – πλαστή σελίδα σύνδεσης ; Δεξιά πλευρά – πραγματική σελίδα σύνδεσης

 

Παράδειγμα Β: FedEx

Κατά τη διάρκεια του Δεκεμβρίου, παρατηρήσαμε ένα κακόβουλο μήνυμα ηλεκτρονικού ταχυδρομείου phishing που χρησιμοποιούσε το εμπορικό σήμα της Fedex και προσπαθούσε να πείσει τον χρήστη να κατεβάσει το κακόβουλο λογισμικό SnakeKeylogger στον υπολογιστή του. Το μήνυμα ηλεκτρονικού ταχυδρομείου (βλ. Εικόνα 1), το οποίο εστάλη από την παραποιημένη διεύθυνση support@fedex[.]com, περιείχε το θέμα “Bill of Lading-PL/CI/BL-Documents arrival”. Το περιεχόμενο ζητάει να κατεβάσετε ένα αρχείο αρχειοθέτησης RAR “shipment docu..rar”, το οποίο περιέχει ένα κακόβουλο εκτελέσιμο αρχείο που θα προκαλούσε τη μόλυνση του συστήματος με το SnakeKeylogger και θα μπορούσε να υποκλέψει τις πληροφορίες των διαπιστευτηρίων του χρήστη.

Σχήμα 3. Κακόβουλο μήνυμα ηλεκτρονικού ταχυδρομείου που εστάλη με θέμα "Bill of Lading-PL/CI/BL-Documents arrival"
Σχήμα 3. Κακόβουλο μήνυμα ηλεκτρονικού ταχυδρομείου που εστάλη με θέμα “Bill of Lading-PL/CI/BL-Documents arrival”

Παράδειγμα Γ: DHL

Σε αυτό το παρακάτω phishing email, βλέπουμε μια προσπάθεια να κλέψουν το email και τον κωδικό πρόσβασης των χρηστών μέσω μιας απομίμησης της μάρκας DHL. Στάλθηκε από την πλαστή διεύθυνση ηλεκτρονικού ταχυδρομείου DHL Customer Support (info@emmc[.]ir), περιείχε το θέμα “DHL Shipment Notification : xxxxxxxxxxxx “Out for delivery” for 15 Dec 21″. Ο επιτιθέμενος προσπαθούσε να παρασύρει το θύμα να κάνει κλικ σε έναν κακόβουλο σύνδεσμο (http://reg[.]chaindaohang[.]com/wp-content/uploads/2021/07/dhl/index[.]php?i=i&0=vegenat@vegenat[.]es), ο οποίος ανακατευθύνει τον χρήστη σε μια απατηλή αρχική σελίδα της DHL, που μοιάζει με την πραγματική ιστοσελίδα (βλ. Εικόνα 2). Στον κακόβουλο σύνδεσμο, ο χρήστης κλήθηκε να πληκτρολογήσει το email και τον κωδικό πρόσβασής του.

Εικόνα 4. Το κακόβουλο μήνυμα ηλεκτρονικού ταχυδρομείου το οποίο εστάλη με θέμα "Ειδοποίηση αποστολής DHL : xxxxxxxxxxxx "Out for delivery" for 15 Dec 21"
Εικόνα 4. Το κακόβουλο μήνυμα ηλεκτρονικού ταχυδρομείου το οποίο εστάλη με θέμα “Ειδοποίηση αποστολής DHL : xxxxxxxxxxxx “Out for delivery” for 15 Dec 21″

 

 

Σχήμα 5. Αριστερή πλευρά - δόλια σελίδα σύνδεσης με αίτημα διαπιστευτηρίων ; Δεξιά πλευρά - πραγματική σελίδα σύνδεσης
Σχήμα 5. Αριστερή πλευρά – δόλια σελίδα σύνδεσης με αίτημα διαπιστευτηρίων ; Δεξιά πλευρά – πραγματική σελίδα σύνδεσης