Útdíjszolgáltatói adathalász kampány

Editors' Pick

Az adathalászat 2025-ben is jelentős fenyegetést jelent, amely súlyos pénzügyi és hírnévbeli károkat okozhat a vállalkozásoknak és szervezeteknek. A Group-IB 2024-ben több mint 80 000 adathalász weboldalt azonosított – 22%-os növekedést 2023-hoz képest – a High-Tech Crime Trends Report 2025 szerint.

A Group-IB nemrég azonosított egy adathalászkampányt, amely egy útdíjfizetési szolgáltatót célzott meg. A Group-IB szerint a kampány 2023 végén kezdődött, mivel a kampányhoz kapcsolódó egyes domaineket ebben az időszakban kezdték el használni. Az SMS adathalász kampányban a kiberbűnözők egy útdíjfizetési szolgáltatónak adják ki magukat, hogy megtévesszék a gyanútlan felhasználókat. Az üzenetben a kiberbűnözők azt állítják, hogy a büntetések elkerülése érdekében („et éviter des pénalités”) a határidő lejárta előtt be kell fizetniük az elmaradt útdíjakat.

Mint a legtöbb adathalász kísérletnél, a kiberbűnözők a sürgősség érzetét keltik, és jelentős késedelmi díjakra figyelmeztetik az áldozatokat, ha nem cselekszenek azonnal. A feltételezett fizetés befejezéséhez az áldozatokat egy olyan weboldalra irányítják, amelynek célja a fizetési adatok megszerzése. A kampány mögött álló kiberszereplők alapos kutatást végeztek az áldozataikról, és az adathalász üzenetek nyelvét francia nyelvre igazították, amely a megcélzott kanadai régióban az elsődleges nyelv. Az üzeneteik és taktikáik lokalizálásával hitelesebbé teszik az adathalász technikákat, így meggyőzőbbé teszik azokat, és növelik annak valószínűségét, hogy az áldozatok bedőlnek az átverésnek.

Az adathalász üzeneteket gyakran hamisított helyi vagy nemzetközi telefonszámokról küldik, így a címzettek számára legitimnek tűnhetek. Amint az áldozatok rákattintanak az SMS-ben szereplő linkre, egy adathalász weboldalra jutnak, amely szinte megkülönböztethetetlen az útdíjszolgáltató valós weboldalától. A „Payer maintenant” (Fizessen most) gombra kattintás után az áldozatoknak meg kell adniuk személyes adataikat, beleértve a nevüket, születési dátumukat, telefonszámukat és lakcímüket. A személyes adatok megadása után a felhasználókat egy másik weboldalra irányítják át, ahol arra kérik őket, hogy adják meg a bankkártya adatait, beleértve a kártyaszámot, a lejárati dátumot és a CVV-kódot.

A kiberszereplők olyan harmadik féltől származó JavaScript könyvtárakat használtak, mint a FingerprintJS és a Cleave.js, hogy megkerüljék az észlelést és valós időben ellenőrizzék a beírt adatokat. Míg a fenyegetések elkövetői általában olyan technikákat használnak, mint a felhasználói bemeneti adatok ellenőrzése és az áldozatok IP-cím, régió vagy nyelv alapján történő kiválasztása, ez a kampány azzal tűnik ki a többi közül, hogy a böngésző ujjlenyomatát további ellenőrzési rétegként használja.

Forrás