Фишинг обрел новое дыхание с развитием криминальных партнерских программ, предлагающих неопытным, но многочисленным молодым охотникам за удачей все необходимые инструменты для теневого «бизнеса». Пока воркеры заманивают людей на сайты-ловушки, хозяева партнерок наслаждаются жизнью, получая процент с каждой обманутой жертвы.
Подготовка к фишинговой атаке – один из самых важных этапов для мошенника, ведь чем более продумана твоя схема, тем дольше она просуществует, а время это деньги. Такую подготовку как правило можно заметить, но вот конечную цель понять возможно далеко не всегда. Например, вчера 7% от всех зарегистрированных доменов в зоне RU составили однотипные домены, состоящие из фиксированного количества рандомных букв и цифр:
https://pastebin.com/dAv4iuwD.
Обычно такие технические домены регистрируют для редиректа трафика в середине цепочки SCAM-проектов, когда мошенники вкладывают деньги в точку входа (чаще всего это созвучные с целевым ресурсом домены, или домены, редирект на которые осуществляется с заранее оплаченной рекламы в поисковиках, соцсетях или у блогеров), и старательно защищают её от возможных «страйков», путем переадресации трафика на вредоносные ресурсы через цепь вот таких прокладок. Второй вариант – использование такого домена в качестве конечной точки, непосредственно фишингового сайта, на который пользователь попадет по уникальной ссылке либо через iframe, размещенный на другом ресурсе. Третий вариант – использование таких доменов для адресации командного центра ботнета.
В данном случае преждевременно говорить о том, станут ли эти домены частью новой волны рассылок с опросами за вознаграждение или проявят себя в процессе атак на пользователей интернет-магазинов или сервисов доставки еды, с фейковыми сайтами которых мы активно боролись в 2021 году. Время покажет. А пока мы передаем эту информацию нашим коллегам из антивирусных компаний, ведь основания для блокировки доменов на настоящий момент отсутствуют, но факт того, что они будут использоваться не для благих дел, выглядит вполне очевидным.
@In4security