Rus hakerlari mehmonxona mijozlari ma'lumotlarini jamlash uchun 4300 dan ziyod soxta sayohat saytlarini yasagan
0
33
0
Yil boshidan beri davom etayotgan ommaviy fishing kampaniyasi ortidagi rusiyzabon muhaddid 4300 dan ortiq domen nomlarini ro'yxatdan o'tkazgan.
Netcraft xavfsizlik tadqiqotchisi Endryu Brandtning so'zlariga ko'ra, ushbu faoliyat mehmonxona sohasi mijozlariga, xususan, spam elektron pochta xabarlari bilan sayohat buyurtma qilgan mehmonxona mehmonlariga qaratilgan. Kampaniya 2025-yil fevral oyi atrofida jiddiy tusda boshlanganligi aytilmoqda.
Hujumga bog'liq 4344 domendan 685 tasida "Booking" nomi, undan keyin 18 tasida "Expedia", 13 tasida "Agoda" va 12 tasida "Airbnb" nomi mavjud, bu barcha mashhur bronlash va ijaraga olish platformalarini nishonga olishga urinish ekanligini ko'rsatadi.
"Davom etayotgan kampaniyada saytga tashrif buyuruvchiga taqdim etiladigan sahifani nishonga oluvchi veb-saytga birinchi marta tashrif buyurganida URL yo'lidagi noyob satrga qarab sozlaydigan murakkab fishing to'plami qo'llaniladi", dedi Brandt. "Sozlashlar Airbnb va Booking.com kabi yirik onlayn sayohat sanoati brendlarining logotiplaridan foydalanadi."
Hujum fishing elektron pochtasi orqali qabul qiluvchilarni keyingi 24 soat ichida kredit karta yordamida buyurtmalarini tasdiqlash uchun havolani bosishga undash bilan boshlanadi. Agar ular tuzoqqa ilinsalar, jabrlanuvchilar yo'naltirishlar zanjirini ishga tushirgandan so'ng soxta saytga olib boriladi. Ushbu soxta saytlar o'z domenlari uchun izchil nomlash namunalariga amal qiladi, ularga qonuniylik illyuziyasini berish uchun tasdiqlash, buyurtma berish, mehmonni tekshirish, cardverify yoki bron qilish kabi iboralarni qo'llaydi.
Sahifalar 43 xil tilni qo'llab-quvvatlaydi, bu esa tahdid qiluvchilarga keng tarmoqqa kirish imkonini beradi. Keyin sahifa jabrlanuvchiga karta ma'lumotlarini kiritish orqali mehmonxona rezervatsiyasi uchun depozit to'lashni buyuradi. Agar biron bir foydalanuvchi AD_CODE deb nomlangan noyob identifikatorsiz sahifaga to'g'ridan-to'g'ri kirishga urinsa, ular bo'sh sahifa bilan kutib olinadi. Soxta saytlarda, shuningdek, foydalanuvchini aldash uchun Cloudflarega taqlid qiluvchi soxta CAPTCHA tekshiruvi mavjud.
"Birinchi tashrifdan so'ng, AD_CODE qiymati cookie-faylga yoziladi, bu keyingi sahifalar sahifalarni bosganlarida saytga tashrif buyuruvchiga bir xil taqlid qilingan brend ko'rinishini taqdim etishini ta'minlaydi", dedi Netcraft. Bu shuningdek, URL-dagi "AD_CODE" qiymatini o'zgartirish bir xil bronlash platformasidagi boshqa mehmonxonaga qaratilgan sahifani yaratishini anglatadi.
Kart ma'lumotlari, amal qilish muddati va CVV raqami bilan birga kiritilishi bilanoq, sahifa fonda o'tkazmani qayta ishlashga harakat qiladi, ekranda esa soxta rezervatsiyalardan himoya qilish uchun "kredit kartangiz uchun 3D Secure tekshiruvini" bajarish uchun bosqichlar bilan "qo'llab-quvvatlash suhbati" oynasi paydo bo'ladi.
Kampaniya ortidagi tahdid guruhining kimligi noma'lumligicha qolmoqda, ammo manba kodi sharhlari va nosozliklarni tuzatish vositasi chiqishi uchun rus tilidan foydalanish ularning kelib chiqishiga ishora qiladi yoki "фишинг" to'plamini o'z ehtiyojlariga moslashtirishni istagan ehtimoliy mijozlarga xizmat ko'rsatishga urinish desa mubolag'a bo'lmas.
