Categoria: Inteligência do adversárioIndústria: Finanças e bancosMotivação: FinanceiroRegião: ÍndiaFonte*: A1

Sumário executivo

AMEAÇAIMPACTOMITIGAÇÃO

• O recurso de domínio de pré-visualização da Hostinger foi usado de forma abusiva para hospedar sites de phishing.
• Esquema de URL de domínio de phishing: domain-tld.preview-domain.com
• Os agentes de ameaças usam domínios de pré-visualização para evitar a detecção.

• Perda de receita e reputação das marcas falsificadas.
• As PII e os dados bancários das vítimas podem ser usados para outros ataques de engenharia social e roubo de identidade.

• Identifique e elimine domínios copiados.
• Monitore domínios maliciosos removidos anteriormente.
• Campanhas de conscientização para educar usuários e clientes.

Análise e atribuição

Modus Operandi

CloudSEKda plataforma contextual de risco digital de IA XV Vigília descobriu uma nova tática de phishing usada por agentes de ameaças para atingir clientes bancários indianos. A xVigil destacou o recente aumento nos domínios de visualização da Hostinger usados para hospedar sites de phishing. O recurso de visualização prévia do domínio permite o acesso a um site mesmo antes de ele estar acessível globalmente.

• Os agentes de ameaças têm lançado campanhas consistentemente para fraudar usuários bancários indianos.
• As campanhas são hospedadas em domínios de phishing que são distribuídos por texto, e-mail e mídias sociais.
• No entanto, o monitoramento em tempo real permitiu que os bancos detectassem e eliminassem sites de phishing rapidamente.
• Portanto, os agentes de ameaças estão constantemente procurando novas técnicas para evitar a detecção precoce.
• O método mais recente envolve o recurso de visualização de domínio fornecido pela Hostinger. Esse recurso permite que os agentes de ameaças distribuam URLs de phishing durante o tempo de propagação da zona DNS (tempo necessário para que um domínio recém-registrado comece a funcionar globalmente).

[caption id="attachment_20152" align="aligncenter” width="809"] A imagem mostra - um domínio malicioso hospedado na Hostinger [/caption] [caption id="attachment_20153" align="aligncenter” width="513"] Visualize o URL de phishing do domínio distribuído por meio de smishing [/caption]

Informações de URLs de phishing

Os URLs de domínio de visualização são espelhos temporários de seus domínios raiz. Aqui estão alguns exemplos de domínios de visualização detectados pelo CloudSEKda plataforma contextual de risco digital de IA XV Vigília: kycfrakyu-online [.] preview-domain [.] combankweb-de [.] preview-domain [.] comkyc451 [.] combankapp-de [.] preview-domain [.] comkycsupports-online [.] preview-domain [.] combankstatements-com-au [.] preview-domain [.].] comkycsbi-in-net [.] domínio prévio [.] combankingonlinebpmclient-com [.] domínio prévio [.] comkycsbio-in-net [.] domínio prévio [.] combankingn26-com [.] domínio prévio [.] comkycsbio-in-net [.] domínio prévio [.] combankasol-net [.] combankasol-net [.] combankasol-net xyz [.] preview-domain [.] comkycsbiko-com [.] preview-domain [.] combankofamerica-updateonline-com [.] preview-domain [.] comkycski-online [.] preview-domain [.] combank0famerica-verification-com [.] preview-domain [.] comkycsky-online [.] preview-domain [.] combank0famirecasurfacehelp-com [.] comkyccsbii-online [.] preview-domain [.] comkycskii-com [.] preview-domain [.] comkycsbbiyono-com [.] domínio de visualização [.] comkyccsbbiko-com [.] domínio de visualização [.] comkyccsbii-com [.] domínio de visualização [.] com

O recurso Preview Domain

O Hostinger é um registrador de domínios e provedor de hospedagem comum. O Hostinger fornece um recurso para visualizar o conteúdo do site sem um domínio depois de criar uma conta e adicionar um domínio para hospedar um site. O tempo de propagação da zona DNS da Hostinger é de 12 a 24 horas. Para compensar esse período, a Hostinger fornece o serviço de pré-visualização de domínio, que permite aos usuários criar e compartilhar seus sites na internet.

• Um recurso de pré-visualização do site é ativado automaticamente durante a ativação do novo pedido de hospedagem.
• O esquema de URL de visualização é: domain-tld.preview-domain.com.
• O URL de visualização fica disponível por 120 horas após a criação de uma conta.

Referências

• *Fonte de inteligência e confiabilidade da informação - Wikipedia
• ^#Protocolo de semáforo - Wikipedia

Apêndice

[caption id="attachment_20154" align="aligncenter” width="397"] Site de phishing para coleta de credenciais bancárias pela Internet [/caption]