Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   GetShared теперь «GetОбход»: фишинг мимикрирует под сервис (http://txgate.io:443/showthread.php?t=7648)

Artifact 01-18-2025 03:24 PM

Письмо с файлом, кнопка «Скачать», а дальше — социальная инженерия в действии .
Специалисты «Лаборатории Касперского» https://www.kaspersky.ru/blog/getsha...-emails/39359/о фишинговых атаках с использованием легитимного сервиса обмена файлами GetShared. Инцидент был выявлен после того, как бывший сотрудник компании получил подозрительное уведомление от этого сервиса. Письмо содержало ссылку на архив с названием DESIGN LOGO.rar, а в сопроводительном тексте говорилось о якобы деловом запросе: уточнении цен, сроков доставки и условий оплаты.
https://cdn.securitylab.ru/upload/me...02tomgtriz.png
Пример письма. https://www.kaspersky.ru/blog/getsha...-emails/39359/
Получатель не стал переходить по ссылке, а передал письмо специалистам. Анализ показал, что уведомление действительно рассылалось через GetShared, и на момент публикации этот сервис всё чаще используется киберпреступниками для обхода почтовых фильтров. Письма от GetShared выглядят как обычные нотификации: содержат название отправленного файла, краткий текст и кнопку перехода к файлу. Это позволяет злоумышленникам «замаскировать» атаку под легитимный документооборот.
Как объясняют специалисты, киберпреступники часто выбирают легитимные платформы, чтобы обойти почтовые фильтры и защиту шлюзов. Для этих целей используются такие сервисы, как Google Calendar, Dropbox и другие. С усложнением фильтров и правил регистрации на крупных сервисах, злоумышленники ищут новые обходные пути, и сейчас их внимание привлек именно GetShared.
Главная цель подобных писем — вовлечь получателя в переписку. Даже если файл из письма не содержит вредоносного кода, киберпреступники надеются начать коммуникацию, чтобы впоследствии использовать методы социальной инженерии. В некоторых случаях ссылка ведёт на заражённый файл, в других — на ресурс с фишинговой формой или исполняемым вложением.
В случае с письмом на имя бывшего сотрудника настораживает несоответствие между названием архива и содержанием сообщения. В тексте говорилось о товарах и ценах, тогда как имя файла указывает на дизайн-проект. Также внимание привлек адрес отправителя — простой поиск домена показал, что он связан с мошеннической активностью.
Эксперты подчеркивают: использование стороннего сервиса для первоначального контакта, без предварительного делового диалога, — уже повод для сомнений. При этом ни один из крупных клиентов, в случае необходимости передачи файлов, не начнёт взаимодействие с нотификации от третьего сервиса без предварительной договорённости.
https://www.securitylab.ru/news/558382.php


All times are GMT. The time now is 09:45 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.