Ֆիշինգային հարձակում՝ «ՀայՓոստ»-ի անվան տակ

phishing, postmortem

12 Փտր 2022

Այս օրերին «ՀայՓոստ»-ի անվան տակ ֆիշինգային հարձակում է անցկացվում հայ օգտատերերի դեմ։ CyberHUB-AM-ը ուսումնասիրել է երեք  նմանատիպ նամակ, երեքն էլ ուղարկված են եղել Yahoo Mail-ի օգտատերերի, թեև նշենք, որ այլ էլ-փոստային ծառայությունների, մասնավորապես՝ Gmail-ի օգտատերերի ևս նման նամակներ ուղարկվել են։

Ինչ վերաբերում է կոնկրետ ուսումնասիրված դեպքերին․ ուղարկող հասցեները փոխվում են՝
haypostestablished15[@]hayarmeniapsoat[.]com
haypostestablished27[@]hayarmeniapsoat[.]com
haypostestablished45[@]hayarmeniapsoat[.]com
Սրանցում երևացող դոմենային տիրույթը typesquatting հարձակման տարատեսակ է՝ երկու տառ տեղով փոխել են, որ աչք խաբեն՝ hayarmenia[PSO]at[.]com․ Հասցեն գրանցվել է hover[.]com-ում՝ փետրվարի 10-ին՝ 2022-02-10T15:21:26․
Նամակները ուղարկվել են հնդկական hxxps://publicdomainregistry[.]com -ին պատկանող IP-ներից, տարիներ շարունակ ֆիշինգային մեյլեր ուղարկելու պատմություն ունեցող mailhostbox[.]com-ի SMTP տիրույթից։
Նամակը դասական ֆիշինգային է՝
> Ձեր փաթեթը չի կարող առաքվել 10.02.2022, քանի որ մաքսատուրքերը չեն վճարվել ֏ 10.2.
> Փաթեթի առաքումը հաստատելու համար, [**Սեղմեք այստեղ**](hxxps://haypost[.]ddns[.]net/Checkout/)
Հղումով մեզ ուղղորդում են DDNS[.]net-ի տիրույթ։ Սա անվճար դինամիկ DNS ծառայություն է, որը թույլ է տալիս արագ վերաուղորդավորել մի IP-ից մյուսը, եթե, օրինակ, սերվերներից մեկը փակվի կամ հարձակման ենթարկվի։ Սա թույլ է տալիս ենթադրել, որ չարագործները մտադիր են շարունակել հարձակումը։
Բացվող էջը ուղղակի էլեկտրոնային վճարային քարտերի տվյալներ հավաքող ֆորմա է, կատարված է որակյալ, նույնիսկ իրականացված է տվյալների ստուգում, որպեսզի գոյություն չունեցող քարտի տվյալներ չմուտքագրեք։ Կոդի մեջ իսպաներենի հետքեր կան, օրինակ՝ “En la Tienda Online de Correos tenemos todo para hacer tus envíos: cajas, sobres, sellos, embalajes… regalos, coleccionismo y productos solidarios”, ինչից պարզ է դառնում, որ չարագործները օգտագործել են correos[.]es կայքի պատրաստի շաբլոններից ինչ-որ կտորներ։
Գրառմանը կից ներկայացնում ենք նաև Sandbox-ում բացված այդ ֆիշինգային էջի օրինակը։