🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
اقرأ المزيد
يكشف بحث CloudSek عن إطار عمل عام للتصيد الاحتيالي قادر على استهداف علامات تجارية متعددة من خلال الاستفادة من عناوين URL القابلة للتخصيص لانتحال شخصية صفحات تسجيل الدخول الشرعية. تتكيف صفحات التصيد هذه، التي تتم استضافتها على workers.dev في Cloudflare، ديناميكيًا باستخدام نطاقات البريد الإلكتروني المستهدفة لإنشاء خلفيات واقعية، وخداع المستخدمين لتسليم بيانات الاعتماد. يتم تهريب البيانات المسروقة إلى خادم بعيد عبر JavaScript غامضة. يجب على المؤسسات تعزيز الوعي من خلال التدريب ومحاكاة سيناريوهات التصيد الاحتيالي وإنشاء بروتوكولات إبلاغ واضحة للتخفيف من المخاطر والحماية من تهديدات التصيد المتطورة.
يمكنك مراقبة مؤسستك والدفاع عنها بشكل استباقي ضد التهديدات من الويب المظلم باستخدام CloudSek xviGil.
Schedule a Demoاكتشف فريق أبحاث التهديدات في CloudSek صفحة تصيد عامة يمكن ذلك انتحال شخصية أي علامة تجارية باستخدام صفحة تسجيل دخول عامة لسرقة بيانات الاعتماد. تتم استضافة صفحة التصيد باستخدام عمّال Cloudflare. dev، خدمة اسم نطاق مجانية.
1. تتم استضافة صفحة التصيد ذات المظهر العام على عنوان URL هذا: ملعب العمال - الملك المكسور - d18b.surmissions.workers.dev وهو مصمم لسرقة أوراق الاعتماد من الضحايا غير المرتابين.
2. من أجل تحويل صفحة تسجيل الدخول إلى بريد الويب ذات المظهر العام إلى انتحال شخصية علامة تجارية معينة، يمكن استخدام عنوان URL المصمم هذا: ملعب العمال - الملك المكسور - d18b.surmissions.workers.dev/#[email protected].
3. يمكن تخصيص هجمات التصيد الاحتيالي لاستهداف مؤسسات محددة عن طريق إضافة عنوان البريد الإلكتروني للموظف إلى نهاية عنوان URL العام لصفحة التصيد الاحتيالي، مفصولًا بـ # رمز.
4. يأخذ موقع التصيد الاحتيالي لقطة شاشة للنطاق الموجود في عنوان البريد الإلكتروني للمستخدم المستهدف (مثل google.com) باستخدام thum.io(مولد لقطة شاشة مجاني لموقع الويب) ويستخدمه كخلفية لموقع التصيد الاحتيالي لخداع المستخدمين المطمئنين.
5. بمجرد إدخال الضحية بيانات الاعتماد لتسجيل الدخول، يتم تسريب بيانات الاعتماد الخاصة بها إلى نقطة نهاية بعيدة - hxxps: //kagn [.] org/zebra/nmili-wabmall.php
6. تم تشويش DOM الخاص بصفحة التصيد الاحتيالي باستخدام JavaScript (اسم الملف:myscr939830.js) [Fig5] للتهرب من الكشف من محركات الاحتيال. ومع ذلك، لم تكن جافا سكريبت معقدة وكان من السهل إزالة الغموض عنها. بمجرد إزالة التشويش، يمكن التحقق من وظائف الصفحة من الكود المصدري.
7. يمنع مقتطف الشفرة المستخدمين من عرض مصدر الصفحة، والذي يمكن استخدامه لتحديد محاولات التصيد وحظرها - الشكل 6
8. فيما يلي الوظيفة الموجودة في شفرة المصدر التي تم إزالة الغموض عنها والتي توضح كيفية إنشاء صفحة التصيد بشكل ديناميكي باستخدام خدمات مجانية من thum.io ونقطة نهاية favicon fetcher من Google.
1. استنادًا إلى تشابه ملف Javascript المبهم، حددنا عناوين URL الأخرى للتصيد الاحتيالي التي تستخدم نفس التكتيكات ولكن يتم استضافتها باستخدام Cloudflare r2.dev: https://pub-3bb44684992b489e903bd3455d3b6513.r2[.]dev/WEBDATAJHNCHJF879476436743YREBHREBNFBJNFHJFEJERUI4894768467RYHGJGFHJGHJ.html
2. خلال تحليل أعمق لملف جافا سكريبت نفسه (myscr939830.js)، تم اكتشاف أنه مستضاف على خدمة تخزين بلوكتشين مجانية، تخزين الويب 3.
3. قام ممثل التهديد بسرقة بيانات الاعتماد المسروقة إلى خادم بعيد، kagn [] .org. تم تسجيل هذا النطاق، الذي يسيطر عليه ممثل التهديد، منذ 6 سنوات ويتم استضافته على Wordpress. من المحتمل أن يكون ممثل التهديد قد استغل ثغرة أمنية وربما قام بإغلاق الخادم في /zebra/nmili-wabmall.php.
Take action now
CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.
Digital Risk Protection platform which gives Initial Attack Vector Protection for employees and customers.
Software and Supply chain Monitoring providing Initial Attack Vector Protection for Software Supply Chain risks.
Creates a blueprint of an organization's external attack surface including the core infrastructure and the software components.
Instant Security Score for any Android Mobile App on your phone. Search for any app to get an instant risk score.