Οι ερευνητές ανακάλυψαν μια νέα προσέγγιση που ακολουθούν οι phishers για να αυξήσουν τη δέσμευση και την εμπιστοσύνη των θυμάτων: την προσθήκη ενός διαδραστικού chatbot. Όλοι έχουμε συνηθίσει τα chatbots που χρησιμοποιούνται από πολλούς από τους μεγαλύτερους παρόχους υπηρεσιών – είναι ενοχλητικά, αλλά κάτι που πρέπει να πλοηγηθούμε.
Οι phishers ελπίζουν ότι αυτή η απρόθυμη αποδοχή των chatbots θα βοηθήσει στη μείωση της προσοχής του θύματος-στόχου. Η διαδικασία περιγράφεται σε νέα ιστολογίου .
Η ανακάλυψη έγινε στο Trustwave SpiderLabs. Στη δική του τηλεμετρία βρήκε μόνο ένα δείγμα, αλλά ο Karl Sigler, διευθυντής των πληροφοριών απειλών της SpiderLabs σημειώνει ότι εφόσον οι phishers έχουν καταχωρίσει μια σειρά από τομείς για τη διαδικασία, είναι πιθανό να είναι μέρος μιας ευρύτερης καμπάνιας.
Το βασικό δέλεαρ είναι η κοινή αποτυχημένη παράδοση της DHL, και το θύμα πρέπει ακόμα να το πέσει. Αλλά το θύμα δεν κατευθύνεται αμέσως στον ιστότοπο phishing. Αντίθετα, το «παρακαλώ ακολουθήστε τις οδηγίες μας» έχει ως αποτέλεσμα την παράδοση ενός PDF με ένα κουμπί «διόρθωση παράδοσης». Μέχρι στιγμής, αν και υπάρχουν κόκκινες σημαίες για το παρατηρητικό θύμα, δεν υπάρχει τίποτα απροκάλυπτα επικίνδυνο.
Εάν το θύμα κάνει κλικ στο κουμπί, αποστέλλεται σε έναν άλλο ιστότοπο όπου η αλυσίδα phishing ξεκινά με την εισαγωγή ενός chatbot που υπόσχεται να διορθώσει την παράδοση, αλλά πραγματικά συλλέγει προσωπικά δεδομένα.
Εάν ο στόχος αποδεχτεί το chatbot, συνεχίζει τη δέσμευση δείχνοντας στο θύμα μια φωτογραφία του κατεστραμμένου πακέτου και ζητά λεπτομέρειες σχετικά με τον τρόπο παράδοσης. Εάν το θύμα ζητήσει να προγραμματιστεί η παράδοση, παρουσιάζεται ένα ψευδές CAPTCHA για περαιτέρω αύξηση της εμπιστοσύνης.
Το επόμενο στάδιο είναι να ζητήσετε διεύθυνση και ώρα παράδοσης. Ζητείται απροσδιόριστος κωδικός πρόσβασης. Πραγματικά δεν έχει σημασία ποιος κωδικός πρόσβασης έχει εισαχθεί – θα μπορούσε να είναι ένας κωδικός πρόσβασης λογαριασμού DHL ή ο λογαριασμός email του χρήστη – ο phisher τον κλέβει ούτως ή άλλως μαζί με τη διεύθυνση παράδοσης και τη διεύθυνση email του χρήστη (την οποία έχει ήδη). Το phishing έχει ξεκινήσει αλλά δεν έχει ολοκληρωθεί.
Το chatbot εξηγεί ότι η πρόσθετη προσπάθεια παράδοσης είναι μια πρόσθετη υπηρεσία που απαιτεί πληρωμή – έτσι εμφανίζεται μια σελίδα πληρωμής με πιστωτική κάρτα. Το ποσό είναι μικρό. Εάν το θύμα έχει παραληφθεί μέχρι στιγμής, η πληρωμή δεν είναι παράλογη. Η πληρωμή για την ψεύτικη επαναπαράδοση εγκαταλείπει τον πραγματικό στόχο του phisher – τα στοιχεία της τραπεζικής κάρτας.
Στη συνέχεια, ακολουθεί μια περίεργη διαδικασία – ο phisher λέει ότι ένας κωδικός επαλήθευσης OTP έχει σταλεί στο θύμα. Αλλά ο ψαράς δεν έχει ζητήσει ακόμη τον αριθμό τηλεφώνου του θύματος, οπότε αυτό δεν μπορούσε να συμβεί. «Η τοποθέτηση τυχαίων χαρακτήρων απλώς θα σας ανακατευθύνει στην ίδια σελίδα δηλώνοντας ότι ο κωδικός ασφαλείας δεν είναι πλέον έγκυρος», γράφουν οι ερευνητές. «Στην πέμπτη προσπάθεια, ωστόσο, η σελίδα ανακατευθύνεται σε άλλη σελίδα λέγοντας ότι η υποβολή ελήφθη με επιτυχία. Αυτό σηματοδοτεί το τέλος της αλυσίδας phishing του δράστη».
Έχουμε μείνει με μια κάπως αινιγματική επίθεση phishing. Φαίνεται εκλεπτυσμένο, αλλά δεν έχει κάποια πολύ εύκολη λεπτομέρεια που θα μπορούσε να το βελτιώσει. Θα ήταν εύκολο, πράγματι λογικό, να ζητήσετε τον αριθμό τηλεφώνου του θύματος για το διακριτικό OTP. Το γεγονός ότι το chatbot πρόκειται να στείλει ένα διακριτικό σε έναν αριθμό τηλεφώνου που δεν έχει δοθεί θα μπορούσε να είναι μια σοβαρή κόκκινη σημαία. Ταυτόχρονα, ο phisher δεν ενδιαφέρεται πλέον πραγματικά, καθώς έχει ήδη τις λεπτομέρειες που αναζητούσε.
Ωστόσο, ένα φαινομενικά λειτουργικό OTP θα έδινε στο θύμα μεγαλύτερη εμπιστοσύνη στην εγκυρότητα της διαδικασίας. Χωρίς ανησυχίες, το θύμα μπορεί εύκολα να μην σκεφτεί περαιτέρω το περιστατικό μέχρι τη μη παράδοση του ανύπαρκτου πακέτου (αν ποτέ) – δίνοντας στον ψάρεμα αρκετό χρόνο για να συλλέξει τα στοιχεία του χρήστη. Η προφανώς ξεφλουδισμένη διαδικασία OTP, ωστόσο, θα μπορούσε να προκαλέσει επαρκή ανησυχία στο θύμα ώστε να επικοινωνήσει με την τράπεζά του.
Αυτός ο συνδυασμός πολυπλοκότητας με ένα ορισμένο επίπεδο μη πληρότητας εγείρει το ερώτημα εάν πρόκειται πραγματικά για μια μεθοδολογία επίθεσης που βρίσκεται ακόμη σε εξέλιξη. Είναι σίγουρα πιθανό ότι αυτό το δείγμα θα σηματοδοτήσει την αρχή μιας ευρύτερης και πιο εξελιγμένης χρήσης των chatbots σε καμπάνιες phishing. Ωστόσο, ο Sigler του Trustwave έχει μια ελαφρώς διαφορετική άποψη.
«Διαβάζοντας μέσα από τις γραμμές και με την εμπειρία μου», είπε στο SecurityWeek, «αυτό που μου λέει είναι ότι αυτή ήταν μια καμπάνια που χρησιμοποιήθηκε για πρώτη φορά για άλλους σκοπούς. Μάλλον το είχαν πιο στοχευμένο. πιθανότατα ζήτησαν τον αριθμό τηλεφώνου του πιθανού θύματος και στη συνέχεια του έστειλαν έναν κωδικό OTP για να προσπαθήσουν να τον καταγράψουν. Αλλά αυτό που κάνουν οι phishers εδώ είναι ότι επαναχρησιμοποιούν την ίδια υποδομή από μια πιο στοχευμένη καμπάνια για πιο γενικούς σκοπούς. Αυτή θα μπορούσε να είναι κάποια δευτερεύουσα ομάδα που μόλις αγόρασε αυτό το πακέτο από κάποιο κακόβουλο λογισμικό ως υπηρεσία ή κάποιο σκοτεινό σύνδεσμο ιστού και προσπαθεί να το χρησιμοποιήσει όσο μπορεί, παρόλο που ορισμένα στοιχεία του δεν έχουν νόημα. τα θύματα που στοχεύουν».
