Phish n’ Ships kampány
Legalább 2019 óta tart a „Phish n’ Ships” elnevezésű adathalász kampány, amely több mint ezer legális online áruházat fertőzött meg, hogy nehezen fellelhető termékek hamis terméklistáit népszerűsítse. Az ezekre a termékekre kattintó gyanútlan felhasználókat egy több száz hamis webáruházból álló hálózatra irányítják át, amely anélkül lopja el a személyes adataikat és a pénzüket, hogy bármit is kapnának azért. A HUMAN Satori Threat Intelligence csapata szerint, amely felfedezte a Phish n’ Ships-et, a kampány több százezer fogyasztót érintett, és több tízmillió dollárra becsült veszteséget okozott.
A támadás úgy kezdődik, hogy a legitim webhelyeket rosszindulatú szkriptekkel fertőzik meg ismert sérülékenységek (n-days), hibás konfigurációk vagy kompromittált rendszergazdai hitelesítő adatok kihasználásával. Miután egy webhelyet feltörtek, a fenyegető szereplők feltöltenek olyan, nem feltűnő nevű szkripteket, mint a „zenb.php” és a „khyo.php”, amelyekkel hamis terméklistákat töltenek fel. Ezek a tételek SEO-optimalizált metaadatokkal vannak ellátva, hogy növeljék láthatóságukat a Google keresési találatokban. Amikor az áldozatok ezekre a linkekre kattintanak, egy sor lépésen keresztül átirányítják őket, amelyek végül csaló weboldalakra vezetnek, amelyek gyakran a kompromittált webáruház felületét utánozzák, vagy hasonló dizájnt használnak. A Satori kutatói szerint mindezek a hamis boltok egy tizennégy IP-címből álló hálózathoz kapcsolódnak, és mindegyikük URL-címében szerepel egy bizonyos karakterlánc, amely azonosíthatóvá teszi őket. A hamis boltban történő vásárlás megkísérlése az áldozatokat egy hamis checkout folyamaton vezeti keresztül, amelyet úgy terveztek, hogy legitimnek tűnjön, de nem tartalmaz semmilyen adatellenőrzést, ami a potenciális csalás jele.
A rosszindulatú webhelyek ellopják az áldozatok által a megrendelési mezőkbe beírt adatokat, beleértve a hitelkártyaadatokat is, és a fizetést a támadó által ellenőrzött, félig-meddig legális fizetési szolgáltatói fiókkal bonyolítják le. A megvásárolt terméket soha nem szállítják ki a vevőnek, így az áldozatok elveszítik a pénzüket és az adataikat is. A Satori megállapította, hogy a Phish n’ Ships ötéves működése alatt a fenyegető szereplők több fizetési szolgáltatóval is visszaéltek.
