Фальшивые пиццы стали золотой жилой для хакеров

Исследователи BforeAI выявили масштабную фишинговую кампанию, направленную на международные сети пиццерий, что привело к значительным финансовым потерям.

Расследование началось после получения информации от полиции Сингапура о фишинговой угрозе, на что было указано в статье Yahoo News Singapore. Начальный индикатор компрометации привел к обнаружению более сложной и продолжающейся атаки, охватывающей несколько стран и нацеленной на различные бренды пиццерий.

Первоначально кампания была выявлена через домен domino-plza[.]com, что привело к потере 27 000 сингапурских долларов у семи жертв через фальшивые страницы заказа, имитирующие сайт Domino’s Pizza. Злоумышленники использовали платную рекламу в поисковых системах, чтобы вывести свои фальшивые домены на верхние позиции в результатах поиска, обгоняя оригинальные сайты. Эти методы в сочетании с черными техниками SEO делали пользователей уязвимыми для фишинга.

После успешных атак в Сингапуре злоумышленники зарегистрировали домены, нацеленные на другие крупные международные сети пиццерий, такие как PizzaPizza, Little Caesars, Blaze Pizza, 241 Pizza, Panago Pizza и Boston Pizza. Эти домены очень похожи на настоящие, но содержат небольшие изменения, которые легко могут ввести пользователей в заблуждение.

Злоумышленники продолжают регистрировать новые домены, используя IP-адреса, связанные с подозрительными регистрациями доменов с необычными доменными зонами, такими как «.life» и «.top», что не характерно для легитимных брендов. Атаки начинаются с создания фальшивых сайтов, которые практически не отличаются от оригинальных. При оформлении заказа пользователи вводят одноразовый пароль (OTP), что позволяет злоумышленникам получить данные карты и использовать их для несанкционированных транзакций, что приводит к потерям средств у жертв.

Кампания не ограничивается одной страной и представляет собой глобальную угрозу, с особым акцентом на канадские сети пиццерий. Способность злоумышленников регистрировать и поддерживать множество доменов указывает на хорошо организованную операцию, направленную на эксплуатацию популярности и доверия к этим брендам.

Несмотря на то, что первые атаки привели к значительным потерям в 2023 году, кампания продолжается и в 2024 году. Наблюдается активность, направленная на канадские пиццерии, включая PizzaPizza, Little Caesars, Pizzaiolo, Panago Pizza и Boston Pizza. Перемещения серверов и изменение дат активности в пассивных DNS-записях указывают на непрерывность этой кампании. Использование спорных VPS-сервисов, таких как Stark Industries, подтверждает участие хорошо оснащенных киберпреступников.

Недавние исследования показывают, что некоторые фишинговые домены продолжают обновляться, что свидетельствует о возможных будущих атаках. Появление новых регистраций доменов, связанных с той же группой злоумышленников, подтверждает необходимость постоянного мониторинга угроз.

Атаки расширяются и на другие организации за пределами индустрии пиццы, что подчеркивает необходимость повышенного внимания и принятия мер для предотвращения дальнейших финансовых потерь.