Kampanye phishing baru menargetkan pembeli e-commerce di Eropa dan Amerika Serikat dengan halaman palsu yang meniru merek sah dengan tujuan mencuri informasi pribadi mereka menjelang musim belanja Black Friday.
“Kampanye ini memanfaatkan tingginya aktivitas belanja online di bulan November, musim puncak diskon Black Friday. Pelaku ancaman menggunakan produk diskon palsu sebagai umpan phishing untuk menipu korban agar memberikan Data Pemegang Kartu (CHD) dan Data Otentikasi Sensitif (SAD) dan Data Pribadi mereka. Informasi Identifikasi (PII),” kata EclecticIQ.
Aktivitas tersebut, yang pertama kali diamati pada awal Oktober 2024, telah dikaitkan dengan keyakinan tinggi kepada aktor ancaman Tiongkok yang bermotivasi finansial dengan nama sandi SilkSpecter. Beberapa merek yang ditiru termasuk IKEA, LLBean, North Face, dan Wayfare.
Domain phishing diketahui menggunakan domain tingkat atas (TLD) seperti .top, .shop, .store, dan .vip, sering kali salah ketik nama domain organisasi e-niaga yang sah sebagai cara untuk memikat korban (misalnya, northfaceblackfriday[.]toko). Situs web ini mempromosikan diskon yang sebenarnya tidak ada, sambil diam-diam mengumpulkan informasi pengunjung.
Fleksibilitas dan kredibilitas kit phishing ditingkatkan menggunakan komponen Google Terjemahan yang secara dinamis mengubah bahasa situs web berdasarkan penanda geolokasi korban. Mereka juga menyebarkan pelacak seperti OpenReplay, TikTok Pixel, dan Meta Pixel untuk mengawasi efektivitas serangan.
Tujuan akhir dari kampanye ini adalah untuk menangkap informasi keuangan sensitif apa pun yang dimasukkan oleh pengguna sebagai bagian dari pesanan palsu, dan penyerang menyalahgunakan Stripe untuk memproses transaksi guna memberi mereka ilusi legitimasi, padahal, pada kenyataannya, data kartu kredit adalah dieksfiltrasi ke server di bawah kendali mereka.
Terlebih lagi, korban diminta untuk memberikan nomor telepon mereka, sebuah langkah yang kemungkinan besar dimotivasi oleh rencana pelaku ancaman untuk melakukan serangan smishing dan vishing lanjutan untuk menangkap detail tambahan, seperti kode otentikasi dua faktor (2FA).
“Dengan menyamar sebagai entitas tepercaya, seperti lembaga keuangan atau platform e-commerce terkenal, SilkSpecter kemungkinan besar dapat menghindari hambatan keamanan, mendapatkan akses tidak sah ke akun korban, dan memulai transaksi penipuan,” kata EclecticIQ.
Saat ini tidak jelas bagaimana URL ini disebarluaskan, namun diduga melibatkan akun media sosial dan keracunan optimasi mesin pencari (SEO).
Temuan ini muncul beberapa minggu setelah tim Riset dan Intelijen Ancaman Satori HUMAN merinci operasi penipuan lain yang luas dan sedang berlangsung yang dijuluki Phish 'n' Ships yang berkisar pada toko web palsu yang juga menyalahgunakan penyedia pembayaran digital seperti Mastercard dan Visa untuk menyedot uang konsumen dan informasi kartu kredit. .
Skema jahat ini dikatakan aktif sejak tahun 2019, menginfeksi lebih dari 1.000 situs sah untuk membuat daftar produk palsu dan menggunakan taktik black hat SEO untuk secara artifisial meningkatkan peringkat situs web dalam hasil mesin pencari. Pemroses pembayaran sejak itu memblokir akun para pelaku ancaman, sehingga membatasi kemampuan mereka untuk melakukan pembayaran.
“Proses pembayaran kemudian dijalankan melalui toko web berbeda, yang terintegrasi dengan salah satu dari empat pemroses pembayaran untuk menyelesaikan pembayaran,” kata perusahaan itu. “Dan meskipun uang konsumen akan berpindah ke pelaku ancaman, barang tersebut tidak akan pernah sampai.”
Penggunaan keracunan SEO untuk mengarahkan pengguna ke halaman e-commerce palsu adalah fenomena yang tersebar luas. Menurut Trend Micro, serangan semacam itu melibatkan pemasangan malware SEO di situs yang disusupi, yang kemudian bertanggung jawab untuk memastikan halaman tersebut muncul di bagian atas hasil mesin pencari.
“Malware SEO ini dipasang ke situs web yang disusupi untuk mencegat permintaan server web dan mengembalikan konten berbahaya,” kata perusahaan itu. “Dengan melakukan hal ini, pelaku ancaman dapat mengirimkan peta situs yang dibuat ke mesin pencari dan mengindeks halaman umpan yang dihasilkan.”
“Ini mencemari hasil pencarian, membuat URL situs web yang disusupi muncul dalam pencarian nama produk yang sebenarnya tidak mereka tangani. Akibatnya, pengguna mesin pencari diarahkan untuk mengunjungi situs-situs tersebut. Malware SEO kemudian mencegat pengendali permintaan dan mengalihkan browser pengguna ke situs e-commerce palsu.”
Di luar penipuan terkait belanja, pengguna layanan pos di wilayah Balkan telah menjadi target penipuan pengiriman gagal yang menggunakan Apple iMessage untuk mengirim pesan yang mengaku berasal dari layanan pos, menginstruksikan penerima untuk mengeklik tautan untuk memasukkan pesan pribadi. dan informasi keuangan untuk menyelesaikan pengiriman.
“Para korban kemudian akan diminta untuk memberikan informasi pribadi mereka termasuk nama, alamat tempat tinggal atau komersial, dan informasi kontak, yang akan diambil dan digunakan oleh penjahat dunia maya untuk upaya phishing di masa depan,” kata Group-IB.
“Tidak diragukan lagi, setelah pembayaran dilakukan oleh korban, uang tersebut tidak dapat diperoleh kembali, dan penjahat dunia maya menjadi tidak dapat dihubungi, sehingga korbannya kehilangan informasi pribadi dan uang.”