一个新发现的针对 PayPal 用户的网络钓鱼工具包正试图从受害者那里窃取大量个人信息,其中包括政府身份证明文件和照片。
该工具包托管在已被黑客入侵的合法 WordPress 网站上,这使其能够在一定程度上规避检测。
登录弱登录的网站
互联网技术公司 Akamai 的研究人员在攻击者将其植入他们的 WordPress 蜜罐后发现了该网络钓鱼工具包。
威胁行为者针对安全性较差的网站,并使用在线找到的常见凭证对列表强行登录。他们使用此访问权限来安装文件管理插件,该插件允许将网络钓鱼工具包上传到被破坏的站点。
Akamai 发现网络钓鱼工具包用来避免检测的一种方法是将 IP 地址交叉引用到属于特定公司集的域,包括网络安全行业的一些组织。
看起来合法的页面
研究人员注意到,网络钓鱼工具包的作者努力使欺诈页面看起来很专业,并尽可能地模仿原始的 PayPal 网站。
他们观察到的一个方面是作者使用 htaccess 重写 URL,使其不以 PHP 文件的扩展名结尾。这增加了更清洁、更抛光的外观,从而增加了合法性。
此外,表单中的所有图形界面元素均采用 PayPal 主题样式,因此网络钓鱼页面具有看似真实的外观。
数据窃取过程
窃取受害者的个人数据首先要向他们提出验证码挑战,这一步骤会造成虚假的合法性。
在这个阶段之后,受害者被要求使用他们的电子邮件地址和密码登录他们的 PayPal 账户,这些信息会自动发送给攻击者。
不过,这还不是全部。威胁者以与受害者帐户相关的“异常活动”为借口,要求提供更多验证信息。
在随后的页面中,要求受害者提供大量个人和财务详细信息,包括支付卡数据以及卡验证码、实际地址、社会安全号码、母亲的娘家姓。
网络钓鱼工具包似乎是为了从受害者那里榨取所有个人信息而构建的。除了通常在网络钓鱼诈骗中收集的卡数据外,该数据还需要社会安全号码、母亲的娘家姓,甚至在 ATM 机上进行交易时需要卡的 PIN 码。
收集这么多信息对于网络钓鱼工具包来说并不常见。然而,这个更进一步,要求受害者将他们的电子邮件帐户链接到 PayPal。这将为攻击者提供一个令牌,该令牌可用于访问所提供电子邮件地址的内容。
尽管已经收集了大量的个人信息,但威胁行为者还没有完成。在下一步中,他们要求受害者上传他们的官方身份证明文件以确认他们的身份。
接受的文件是护照、国民身份证或驾驶执照,上传过程带有特定说明,就像 PayPal 或合法服务会向用户询问一样。
网络犯罪分子可以将所有这些信息用于各种非法活动,从与身份盗窃相关的任何事情到洗钱(例如创建加密货币交易账户、注册公司)和在购买服务时保持匿名,再到接管银行账户或克隆支付卡。
尽管网络钓鱼工具包看起来很复杂,但研究人员发现其文件上传功能带有一个漏洞,可以利用该漏洞上传 web shell 并控制受感染的网站。
如果请求的信息量很大,那么对于某些用户来说,这个骗局可能会很明显。然而,Akamai 研究人员认为,这种特定的社会工程元素是该套件成功的原因。
他们解释说,如今身份验证很正常,可以通过多种方式完成。研究人员说:“如今,人们根据他们的安全措施来评判品牌和公司。”
验证码质询的使用从一开始就表明可能需要额外的验证。通过使用与合法服务相同的方法,威胁行为者巩固了受害者的信任。
建议用户检查要求敏感信息的页面的域名。他们还可以通过在浏览器中手动输入来访问该服务的官方页面,以检查身份验证是否正常。
