Een recente golf van phishingaanvallen die erop zijn gericht om betaalkaart gegevens en inloggegevens voor de Netflix-streamingdienst te stelen, begint met het omleiden naar een functionerende CAPTCHA-pagina om e-mail beveiligings maatregelen te omzeilen.
De cybercriminelen achter deze pogingen gebruikte een thema 'mislukte betaling' om potentiële slachtoffers te betrekken bij de omleiding die naar de phishing pagina leidde.
Phishing campagne
De frauduleuze e-mails werden aan het begin van de maand verzonden en waren bedoeld als een melding van de Netflix-ondersteuningsdienst over problemen met het verifiëren van het factuuradres en de betalingsgegevens.
Kijkend naar het adres van de afzender (netfiix@csupport.co), is het duidelijk dat de aanvaller zich heeft ingespannen om het legitiem te laten lijken door zich voor te doen als de klantenservice van Netflix.
Onderzoekers van Armorblox, een bedrijf dat gerichte e-mailaanvallen bestrijdt, analyseerden de omleiding. Het begint allemaal met een link in het bericht die naar de phishing-pagina leidt.
Sommige beveiligingsoplossingen detecteren de pagina echter niet als een bedreiging omdat deze verborgen is achter een functionele 'CAPTCHA' challenge-response test.
Afgezien van het voorkomen dat verdedigingssystemen de kwaadaardige pagina bereiken, geeft de CAPTCHA ook een gevoel van legitimiteit aan de communicatie. De URL is verwijderd.
De phishing-pagina is een goede nabootsing van de originele Netflix-inlogportal, maar alle links laden gewoon dezelfde pagina opnieuw. Ook is het domein dat het laadt, ondanks dat het legitiem is, een duidelijke indicatie van een nep.
Na het invoeren van de inloggegevens wordt een andere pagina geladen, waarin om een factuuradres wordt gevraagd en vervolgens om betalingsgegevens (kaartnummer, vervaldatum, CVV, rekeningnummer).
Hoewel deze phishing-aanvallen niet complex zijn en mensen ze kunnen herkennen als ze op bepaalde details letten, slagen ze erin om e-mail beveiligings oplossingen gemakkelijk te omzeilen.
Door een werkende CAPTCHA te gebruiken en de phishing-pagina te hosten op gehackte legitieme websites, kan de acteur filters voor bekende slechte domeinen ontwijken en de fraude pushen zonder het alarm te activeren.
Slachtoffers die voor deze trucs vallen, leren mogelijk pas over de fraude als het te laat is, aangezien de phishing-stroom eindigt met een "succes" -bericht. Wees voorzichtig wanneer u wordt gevraagd om gevoelige details te verstrekken en controleer het domein dat de pagina laadt, zodat gebruikers phishing-pogingen kunnen herkennen.
Bron: armorblox, bleepingcomputer