I kølvandet på en ny bølge af phishing e-mails, hvor it-kriminelle forsøger at fiske NemID brugernavne og passwords samt engangskoder, har en anden bande, som er mere raffineret i deres metoder, skudt en anden og ny kampagne i gang. Her fiskes der også efter brugernavne og passwords, men typisk er målet her rettet mod store og mellemstore e-handel butikker. Det kan blive et nyt og voksende problem ...
CSIS har efterforsket en stribe hændelser, hvor it-kriminelle ved brug af forskellige kanaler, har lokket ofre ind på forfalskede websider der imiterer store og mellemstore ehandel butikker, hvor de via transparent indhold høster login data.
Man in the Middle Proxy phishing
Og det snedige er at de forfalskede websider trækker indholdet fra de legitime sider og så ligger sig som en proxy ovenpå siden. På almindeligt dansk betyder det at brugeren faktisk logger korrekt ind på e-handels butikken men samtidig kompromitterer sin konto så de it-kriminelle kan handle varer fra ofrets konto.
Listen over mål er støt voksende og spænder hen og over flere brancher fra online supermarkeder, varehuse, rejsebureauer til tøj og underholdning.
De seneste phishing kampagner er bl.a. blevet spredt via sociale netværk som Facebook og Twitter men også igennem snedige søgemaskine optimeringer.
En af de aktive phishing servere, som fungerer som proxy og altså en slags "Man in The Middle" i disse phishing angreb, kan findes på IP adressen: 109.169.77.189. Den hører hjemme i England hos Milton Keynes Iomart Hosting Limited (AS20860).
Et eksempel er bl.a. Zalando, som udover deres engelske og tyske side, anvender andre sprogmæssigt tilrettede sider. I dette tilfælde subdomænerne:
es.poferri.com
ga.poferri.com
Herunnder et skærmdump af den forfalskede webside:
Image may be NSFW.
Clik here to view.
Hvem ejer så domænet? Ja, det er i hvertfald ikke Zalando efter whois at dømme:
Domain Name: POFERRI.COM
Registrar: BIZCN.COM, INC.
Whois Server: whois.bizcn.com
Referral URL: http://www.bizcn.com
Name Server: F1G1NS1.DNSPOD.NET
Name Server: F1G1NS2.DNSPOD.NET
Status: clientDeleteProhibited
Status: clientTransferProhibited
Updated Date: 26-feb-2014
Creation Date: 26-feb-2014
Expiration Date: 26-feb-2015
>>> Last update of whois database: Wed, 24 Sep 2014 12:28:36 UTC <<<
Vi har allerede blokeret talrige domæner som er knyttet til disse kampagner i CSIS Secure DNS. Derved kan alle vores kunder af Heimdal PRO og corporate også vide sig sikre, idet vi blokerer adgang til det uønskede indhold.
Vi har naturligvis kontaktet de berørte firmaer, som er mål for denne phishing kampagne, og har i den forbindelse medvirket til at migrere truslen.
↧
CSIS Blog: Ny type phishing rettet mod e-handel
↧