حمله هکرها به FCC و چند صرافی رمزارز

یک کیت فیشینگ جدید به نام CryptoChameleon برای هدف قرار دادن کارکنان کمیسیون ارتباطات فدرال (FCC) در حال استفاده است، که از صفحه‌های احراز هویت یکپارچه (SSO) برای Okta که به‌طور قابل‌توجهی شبیه به صفحه‌های اصلی هستند استفاده می‌کند.
 
همین کمپین همچنین با استفاده از صفحات فیشینگ که جعل هویت اوکتا، جیمیل، آی‌کلود، اوت‌لوک، توییتر، یاهو و AOL هستند، کاربران و کارمندان پلتفرم‌های ارزهای دیجیتال مانند بایننس، کوین‌بیس، کراکن و Gemini را هدف قرار می‌دهد.
 
مهاجمان یک حمله پیچیده فیشینگ و مهندسی اجتماعی متشکل از ایمیل، پیامک و فیشینگ صوتی را سازماندهی می‌کنند تا قربانیان را فریب دهند تا اطلاعات حساسی مانند نام کاربری، رمز عبور و در برخی موارد حتی شناسه‌های عکس را در این صفحات فیشینگ وارد کنند.
 
این عملیات فیشینگ کشف‌شده توسط محققان Lookout شبیه کمپین Oktapus 2022 است که توسط گروه هک Scattered Spider انجام شده است، اما شواهد کافی برای انتساب قطعی به آنها وجود ندارد.
 

حمله مهندسی اجتماعی چندجانبه

این هکرها ابتدا با ثبت دامنه‌هایی که شباهت زیادی به نهادهای قانونی دارند، حمله را آماده می‌کنند. در مورد FCC، آنها “fcc-okta[.]com” را ایجاد کردند، که تنها یک کاراکتر با صفحه اصلی اوکتای تک‌احرازهویتی FCC متفاوت است.
 
مهاجمان ممکن است با هدف موردنظرشان تماس بگیرند، ایمیل بزنند یا پیامک کنند و وانمود کنند که از بخش پشتیبانی مشتریان تماس گرفته‌اند و سپس وی را به سایت فیشینگ هدایت کنند تا حساب‌های خود را “بازیابی” کند.
 
در مورد صرافی کوین‌بیس، این پیام‌ها وانمود می‌کردند که هشدارهایی درباره آلرت‌های ورود مشکوک هستند و کاربران را به سمت صفحات فیشینگ هدایت می‌کنند، همانطور که در زیر نشان داده شده است.
 
از قربانیانی که به سایت فیشینگ می‌رسند، خواسته می‌شود تا یک چالش کپچا را حل کنند؛ این اقدام به نظر Lookout هم برای فیلتر کردن ربات‌ها و هم مشروعیت بخشیدن به فرآیند فیشینگ است.
 
کسانی که این مرحله را پشت سر بگذارند با یک صفحه فیشینگ که طراحی ظاهراٌ درستی دارد روبرو می‌شوند که به صورت یک کپی دقیق از سایت ورود واقعی Okta به نظر می‌رسد.