사기꾼들은 가짜 Google 및 Bing 광고로 500,000명 이상의 피해자를 속여 개인 정보를 훔칩니다.
- 급여 해커는 자격 증명 및 MFA 코드를 훔치기 위해 광고를 사용하여 HR 플랫폼을 스푸핑했습니다.
- 200개 이상의 플랫폼이 표적이 되어 약 50만 명의 사용자에게 영향을 미쳤습니다.
- 텔레그램 봇은 실시간 피싱, 카자흐스탄, 베트남에 걸친 인프라 및 비밀 도메인을 활성화했습니다.
전문가들은 사기꾼들이 로그인 자격 증명과 다단계 인증(MFA) 코드를 훔치기 위해 미국의 급여 시스템, 신용 조합 및 거래 플랫폼을 사칭했다고 경고했습니다.
Check Point의 사이버 보안 연구원들은 Google이나 Bing과 같은 인기 네트워크에서 유료 광고를 사용하여 가짜 HR 및 급여 포털을 광고하는 가해자를 “급여 해커”라고 불렀습니다.
피해자 직원이 단순히 주소창에 주소를 입력하는 것이 아니라 원하는 플랫폼을 검색하면 상단에 가짜 사이트가 홍보되는 것을 보게 됩니다. 자신도 모르게 링크를 클릭하고 로그인을 시도한 사람들은 자신의 자격 증명을 공격자에게 효과적으로 넘겼습니다.
더 강해져서 돌아오다
시간이 지나면서 이 작업은 200개 이상의 플랫폼을 목표로 삼았고 50만 명의 사용자를 끌어 모았다고 연구원들은 말합니다.
이 캠페인은 2023년 말에 비활성화된 것으로 보였지만 2024년 중반에 2단계 인증을 우회할 수 있는 업데이트된 피싱 키트와 함께 다시 돌아왔습니다.
운영자는 텔레그램 봇을 사용하여 피해자와 실시간으로 상호 작용하고 고유 코드 및 기타 보안 응답을 요청했습니다. 키트의 백엔드도 데이터 유출 경로를 숨기도록 재설계되어 인프라를 감지하거나 해체하기가 훨씬 더 어려워졌습니다.
그룹이 두 개의 대규모 인프라 클러스터를 관리하기 때문에 Check Point는 이것이 여러 가지 다른 캠페인이라고 믿었습니다.
하나는 카자흐스탄과 베트남에서 호스팅되는 Google Ads 및 ‘화이트 페이지’ 리디렉션을 사용하는 반면, 다른 하나는 Bing Ads 및 클로킹 서비스를 통해 필터링된 이전 도메인을 사용합니다. 그러나 추가 조사를 통해 이 모든 것이 단일 통합 네트워크의 일부인 것으로 확인되었습니다. 기록에 따르면 급여 플랫폼, 신용 조합, 건강 혜택 포털 등 다양한 대상과 연결된 텔레그램 채널을 운영하는 관리자가 최소 4명이었습니다.
그들은 심지어 관리자 중 한 명이 오데사에서 비디오를 게시하고 있다는 사실을 발견했으며, 운영자 중 적어도 한 명은 우크라이나에 기반을 두고 있다고 결론지었습니다. Check Point는 궁극적으로 급여 해커가 여전히 활동하고 있으며 지속적으로 전술을 개선하고 온라인 급여를 받는 모든 사람을 표적으로 삼고 있다고 경고했습니다.
모든 주머니에 맞는 최고의 바이러스 백신
Google 뉴스에서 TechRadar 팔로우 나 우리를 즐겨찾는 소스로 추가하세요 귀하의 피드에서 전문가로부터 뉴스, 리뷰 및 의견을 받으십시오. 팔로우 버튼을 꼭 눌러주세요!
물론 당신도 할 수 있다 TikTok에서 TechRadar 팔로우 뉴스, 리뷰, 비디오 언박싱을 받고 정기적인 업데이트를 받기 위해 왓츠앱 ~도