Az adathalász webhelyek mostantól már chatbotokat is használnak a felhasználó hitelesítő adatainak ellopására – írja a Bleeping Computer. Biztosan mindenki kapott már levelet nigériai hercegektől, akik csak egy repülőjegyet várnak a szerelemért cserébe, vagy hirtelen elhunyt amerikai nagybácsik jogi képviseletétől, akik banki adatokat kérnek azért, hogy legyen hova utalniuk a váratlanul megörökölt vagyont. Az adathalász weboldalak most szintet léptek: automatizált chatbotokat is használnak, hogy végigvezessék a látogatókat az adataik átadásának folyamatán.
Ez a megközelítés automatizálja a folyamatot a támadók számára, és azt a benyomást kelti a látogatóknak, hogy a weboldal hiteles, mivel chatbotok általában a hiteles márkák webhelyein találhatók meg. Az adathalász támadások új fejleményeit a Trustwave kutatói fedezték fel.
Az adathalász folyamat egy e-maillel kezdődik, amely azt állítja, hogy információkat tartalmaz egy csomag kézbesítéséről. A küldő a DHL szállítmányozási cég megbízottjának álcázza magát. Az e-mailben található „Kérjük, kövesse utasításainkat” gombra kattintva betöltődik egy PDF-fájl, amely az adathalász webhelyre mutató hivatkozásokat tartalmaz. A PDF-dokumentummal sikerül megkerülni az e-mailes rendszerek biztonsági szoftvereit.
A PDF-ben található hivatkozás azonban az áldozatot egy adathalász oldalra irányítja, ahol azt írja a rendszer, hogy a csomagot valamiért nem lehet kiszállítani. Itt veszi át az irányítást a chatbot. A robot előre meghatározott válaszokat kínál a látogatónak, és mindig küld képet az állítólagos csomagról is, amelyen sérült címke látható, ezzel legitimálva az adathalászatot. A probléma miatt a chatbot arra kéri a felhasználót, hogy adja meg személyes adatait, például otthoni vagy üzleti címét, teljes nevét, telefonszámát, és így tovább. Ezt követően „ütemezi a kézbesítést”, és
Ezután az áldozat egy újabb adathalász oldalra kerül, amely megköveteli a DHL-fiók hitelesítő adatainak megadását, és végül fizetéshez vezet, amely állítólag a szállítási költségeket fedezi. Az utolsó „Biztonságos fizetés” oldal tartalmazza a tipikus hitelkártyás fizetési mezőket, beleértve a kártyabirtokos nevét, a kártya számát, a lejárati dátumot és a CVV-kódot. Az adatok megadása és a „Fizetés most” gomb megnyomása után az áldozat SMS-ben kap egy egyszeri jelszót (OTP) a megadott mobiltelefonszámra, ami tovább növeli a legitimitás érzetét.
A Trustwave elemzői véletlenszerű karakterek beírását tesztelték, és a rendszer érvénytelen biztonsági kódot adott vissza, így az OTP-ellenőrzés megvalósítása valós. A helyes kód megadása esetén a hamis oldal a „Köszönöm!” üzenetet jeleníti meg, és megerősíti, hogy a beadvány beérkezett.
Mit lehet tenni az ilyen e-mailek ellen?
- Ha a DHL vagy bármely más szállítási szolgáltatás megkeresi önt, mindig nyissa meg a tényleges webhelyet egy új böngészőlapon, ahelyett, hogy a megadott hivatkozásokra kattintana.
- Ezután jelentkezzen be fiókjába a megbízható platformon, és ellenőrizze a függőben lévő tételeket vagy figyelmeztetéseket. Alternatív megoldásként saját maga is felveheti a kapcsolatot az ügyfélszolgálati képviselővel.
- Mint mindig, az adathalász oldalak felismerésének legjobb módja a webhely URL-jének megvizsgálása. Ha gyanúsnak tűnik, vagy nem egyezik a legitim domainnel, ne adjon meg személyes adatokat az oldalon! Ebben az esetben a meghamisított DHL URL a „24mhd.com” domainre végződik, amely egyértelműen nem a DHL webhelye.