Categoria: Inteligência do adversárioIndústria: Finanças e bancosMotivação: FinanceiroRegião: ÍndiaFonte*: A1

Sumário executivo

AMEAÇAIMPACTOMITIGAÇÃO

• A plataforma JamStack, Cloudflare Pages, foi usada indevidamente para lançar campanhas de phishing para atingir clientes bancários indianos.
• Detalhes de PII e credenciais bancárias comprometidas.

• Perda de receita e reputação das marcas que estão sendo falsificadas.
• As PII podem ser exploradas para conduzir fraudes bancárias e outros ataques de engenharia social.

• Identifique e denuncie domínios falsos.
• Crie uma campanha de conscientização inclusiva para os clientes para educá-los sobre os processos da organização.

Análise e atribuição

• CloudSEKda plataforma contextual de monitoramento de risco digital de IA XV Vigília descobriu mais um modus operandi improvisado usado por agentes de ameaças para atingir clientes bancários na Índia por meio de uma campanha de phishing.
• Anteriormente, Pesquisadores do CloudSEK descobriram um método em que os cibercriminosos exploraram serviços de túnel reverso e encurtadores de URL para lançar campanhas de phishing em grande escala.
• Nesse novo modus operandi, os agentes de ameaças estão usando indevidamente outro serviço, ou seja, Páginas da Cloudflare (uma plataforma JAMStack) para atingir clientes bancários indianos.

Leitura relacionada Esquemas avançados de phishing visam indivíduos e empresas no Oriente Médio

Modus Operandi

• Os agentes da ameaça estão usando a técnica de smishing para distribuir sites de phishing via SMS ou pretexto.
• Os modelos de mensagens são projetados de forma a criar uma sensação de pânico.
• As mensagens contêm um URL abreviado que redireciona para um site de phishing e tem a seguinte aparência: <bankname>.páginas.dev. pages.dev é um subdomínio fornecido pelo Cloudflare Pages.
• O agente malicioso precisa se inscrever no Cloudflare Pages e em qualquer um dos serviços do Git (como GitHub, GitLab etc.) para iniciar o processo de phishing.
• O site clonado da entidade alvo é hospedado e, após alguns cliques, o site de phishing está pronto com um subdomínio personalizado do domínio páginas.dev.

Como funcionam as páginas da Cloudflare

• O Cloudflare Pages é uma plataforma JAMStack para desenvolvedores de front-end colaborarem e implantarem aplicativos front-end dinâmicos.
• Depois de se inscrever e verificar usando um ID de e-mail, o usuário pode começar.
• Há três maneiras de configurar um projeto do Pages:
  • Conectando o provedor Git existente (ou seja, GitHub, GitLab etc.) às páginas da Cloudflare
  • Implantação de ativos pré-criados diretamente nas páginas da Cloudflare usando uploads diretos
  • Usando Wrangler para implantar qualquer projeto
• O recurso Cloudflare Pages é gratuito para uso em 500 compilações por mês. Eles também têm planos Pro e Business disponíveis por USD 20 e USD 200 por mês, respectivamente.

Leitura relacionada Kit de ferramentas sofisticado de phishing apelidado de “NakedPages” para venda em fóruns de crimes cibernéticos

Impacto e mitigação

ImpactoMitigação

• Os dados coletados podem ser vendidos na dark web para obter ganhos monetários.
• Perda de receita e reputação das marcas que estão sendo falsificadas.
• As PII e os detalhes do cartão compartilhados pelas vítimas podem ser explorados para conduzir:
  • Ataques de engenharia social
  • Fraudes bancárias
  • Roubos de identidade

• Identifique e denuncie domínios que se fazem passar por nomes de marcas e marcas registradas.
• Crie uma campanha de conscientização inclusiva para educar os clientes sobre os processos da organização.
• Conscientize os clientes sobre URLs maliciosos.

Referências

• *Fonte de inteligência e confiabilidade da informação - Wikipedia
• ^#Protocolo de semáforo - Wikipedia
• Comece · Documentos do Cloudflare Pages

Apêndice

[caption id="attachment_20530" align="aligncenter” width="609"] URLs de phishing distribuídos via Smishing [/caption] [caption id="attachment_20531" align="aligncenter” width="1908"] Painel verificado das páginas da Cloudflare [/caption] [caption id="attachment_20532" align="aligncenter” width="1429"] Planos para páginas da Cloudflare [/caption] [caption id="attachment_20534" align="aligncenter” width="1024"] Captura de tela de um domínio de phishing direcionado a um popular banco indiano [/caption]