Компанията за киберсигурност предупреждава за измами с Американския закон за спасителния план като освободени първи плащания на данъчен кредит за деца на IRS

Киберпрестъпниците се възползват от последния кръг от плащания на IRS, изпращани до семейства в САЩ, като пускат десетки сайтове за събиране на удостоверения, маскирани като сайтове за регистрация на Американския план за спасяване, според нов отчет от DomainTools.

Миналата седмица IRS започна да изпраща първи кръг на данъчен кредит за деца плащания, които бяха част от по-големия Закон за спасителен план на САЩ, приет по-рано тази година. Плащанията ще бъдат изпратени автоматично от IRS и не изискват регистрация.

Но киберпрестъпниците са създали лабиринт от свързани уебсайтове, всички с цел да подлъжат хората да въведат личната си информация, като се преструват, че са свързани с плащанията на данъчен кредит за деца, обясни Чад Андерсън от DomainTools.

Андерсън каза, че чрез анализ на историческа WHOIS информация и техники OSINT, компанията за киберсигурност е успяла да обвърже тази конкретна измама за събиране на пълномощия с GoldenWaves Innovations, фирма за уеб разработки, базирана в Нигерия.

ZDNet се обади и изпрати имейл на GoldenWaves за коментар, но не получи отговор.

Фалшивите сайтове изглеждат точно като правителствени уебсайтове, обясняват подробно плащанията и молят потребителите да „кандидатстват сега“. Един сайт, който носи името „reliefcarefunds[.]com, “иска имена, адреси, социалноосигурителни номера, снимки на шофьорски книжки и дори моминското име на майка ви.

Сайтовете за събиране на пълномощия трябва да изглеждат точно като правителствените уебсайтове.

DomainTools

Този сайт беше свързан с “americaforgivenrelieffund[.]com “и двамата бяха регистрирани и хоствани чрез NameCheap. DomainTools успя да свърже тези два сайта и 39 други домейни с имейл адрес: goldenwaves247 @ gmail[.]com.

Андерсън каза, че изследователите са установили, че много от връзките, свързани с имейла, също се изпращат чрез връзки за скъсяване на връзки Bitly, което позволява на хората зад измамата да назоват връзката „Осигуряване на безработица по време на избухването на COVID-19 | Американски закон за спасителен план. “

Тези връзки доведоха изследователите към други сайтове, хоствани в Garanntor и OVH, като им предоставиха още повече информация за създателя и обвързаха всички сайтове с имейл адрес, регистриран в Ибадан, Нигерия.

„Градът Ibadan е малък селски град, който прави информацията за регистрация да се откроява, тъй като почти винаги техническите контакти за нигерийски домейни се намират в Лагос, столицата и технологичния център“, пише Андерсън. „Допълнителните търсения разкриват същото потребителско име, което участва в продажби във форуми за киберпрестъпност, Steam игри и други сайтове в социалните медии.

Андерсън добави, че с “средна увереност” изследователите на DomainTools вярват, че GoldenWaves Innovations – която също е регистрирана в Ибадан – е “законна фирма за уеб дизайн пред сайтовете за събиране на документи за самоличност”.

GoldenWaves Innovations има работещ уебсайт с изпълнителен директор, който има пълен профил в LinkedIn.

“Освен това историческият запис на WHOIS открива адрес в Ню Йорк, Ню Йорк, на 120 E 87th Street. Това е жилищна сграда с апартаменти, вариращи от 900 000 до 13 000 000 долара в сърцето на Манхатън. Докато в началото това изглежда странно за компания, базирана в Нигерия, можем да видим от LinkedIn, че един от разработчиците на компанията твърди, че живее в Ню Йорк “, каза Андерсън.

„Разглеждайки текущата информация за контакт на изпълнителния директор в LinkedIn, можем да видим, че GoldenWaves Innovations има нов уебсайт в goldenwaves[.]com[.]ng, който също е свързан със същия имейл адрес и информация за регистрация. Това дава на изследователите на DomainTools висока увереност, че всички тези сайтове за събиране на пълномощия са свързани с GoldenWaves Innovations в Нигерия. Тези сайтове, както и всички нови, които се появиха, бяха докладвани на Google Safe Browsing за блокиране. “

Андерсън включи списък с имената на домейни, използвани в измамата, и каза на ZDNet, че правоприлагащите органи на САЩ са информирани за сайтовете.

На въпрос защо на пръв поглед легитимен бизнес би се обвързал със сайтове за събиране на пълномощия, Андерсън каза, че „със сигурност е небрежен“, но добави, че това доказва полезността на историческите данни на WHOIS.

Други експерти по киберсигурност, като анализатора на киберзаплахите на Digital Shadows, Стефано Де Бласи, заявиха, че заедно с извличането на идентификационни данни, имитиращите домейни често се използват за извличане на финансова информация, разполагане на зловреден софтуер на машината на жертвата и разпространение на дезинформационно съдържание

„Освен това потребителите могат да бъдат подмамени да отворят тези злонамерени страници чрез имейли с копие-фишинг или SMS, както и да бъдат пренасочени там от други незаконни уебсайтове. И в двата случая, ако нападателят знае достатъчно техники за социално инженерство, за да притисне жертвата да отвори URL адреса и вмъкването на идентификационните им данни “, каза Де Бласи пред ZDNet.

“Атаките за социално инженерство остават преобладаващ първоначален вектор на атака за участниците в заплахата, като по този начин удостоверяват, че продължават да работят върху много хора, въпреки неговия доста опростен подход. Регистрирането на тези домейни е тривиална задача за повечето атакуващи, благодарение на подготвените фишинг комплекти и уроци, които атакуващите могат лесно да се намери във форуми за киберпрестъпници. Въпреки това, когато регистрира стотици злонамерени домейни, небрежният нападател може да остави някои важни доказателства, които след това да бъдат събрани и анализирани от изследователите по сигурността, за да се оцени приписването.

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com