khozestan_salamat بلاگ
ایمیلهای جعلی کانتاس در یک کلاهبرداری فیشینگ پیچیده، اطلاعات کارت اعتباری و شخصی استرالیاییها را سرقت میکنند و فیلترهای امنیتی اصلی ایمیل را دور میزنند.
شرکت هواپیمایی کانتاس استرالیا توسط مجرمان با ایمیلهای جعلی که ادعا میکنند از طرف این شرکت هواپیمایی هستند، هدف قرار گرفته است. کارشناسان امنیتی در Cofense Intelligence که این حمله را کشف کردند، دریافتند که این ایمیلهای متقاعدکننده، کاربران را فریب میدهند تا اطلاعات کارت اعتباری و اطلاعات شخصی خود مانند شماره تلفن و آدرس را فاش کنند.
این ایمیلهای جعلی کانتاس، ایمیلهای بازاریابی واقعی را تقلید میکنند و از همان رنگها و طرحبندی ایمیلهای واقعی استفاده میکنند و "با برندسازی مناسب و لینکهای کاربردی" همراه هستند. یکی از ترفندهای هوشمندانهای که مجرمان استفاده کردند، قرار دادن یک لینک "لغو اشتراک" در ایمیلها بود، درست مانند ایمیلهای بازاریابی واقعی.
با این حال، لینکهای موجود در ایمیلهای جعلی به وبسایت رسمی کانتاس نمیرفتند. در عوض، به وبسایتهای دیگری میرفتند. کارشناسان معتقدند که مجرمان ممکن است از این لینکهای لغو اشتراک جعلی برای دیدن آدرسهای ایمیل واقعی و فعال استفاده کرده باشند.
جالب اینجاست که طبق گزارش کافنس، ایمیلهای جعلی اشاره میکردند که کانتاس صد و سومین سالگرد تأسیس خود را جشن میگیرد. با این حال، صد و سومین سالگرد کانتاس در واقع دو سال پیش، یعنی در سال 2023 بود. این یکی از معدود اشتباهات در ایمیلهای بسیار متقاعدکننده بود. این ایمیلها افراد را فریب میدادند تا روی لینکهایی به وبسایتهای جعلی کلیک کنند که اغلب حاوی عبارت "auth/auhs1" و به دنبال آن کلمات تصادفی مربوط به کانتاس یا کوپنها بودند. این وبسایتها معمولاً ظرف یک روز ناپدید میشدند و در یک فرآیند چند مرحلهای، اطلاعات شخصی، از جمله نام، شماره تلفن، آدرس ایمیل و آدرس منزل را درخواست میکردند. این اطلاعات تماس جمعآوریشده، همراه با تاریخ تولد، میتوانست برای کلاهبرداریهای هدفمند یا حدس رمز عبور استفاده شود.
این وبسایتهای جعلی ظاهراً پس از وارد کردن اطلاعات کارت اعتباری توسط کاربر، سعی در راهاندازی احراز هویت چند عاملی داشتند، اما این کار با شکست مواجه شد. کارشناسان معتقدند که این مرحله اضافی برای فریب قربانیان اضافه شده است تا باور کنند که مشکل از سمت آنها است، نه وبسایت.
محققان مشاهده کردند که به نظر میرسد مجرمان سایبری پشت این کمپین، به ویژه افراد در استرالیا را هدف قرار میدهند. اگرچه برخی از افراد در ایالات متحده نیز این ایمیلها را دریافت کردند، اما پیشنهادها به دلار استرالیا بود و شرکت کانتاس در استرالیا مستقر است.
این نشان میدهد که مهاجمان قربانیان استرالیایی را ترجیح میدادند. علاوه بر این، آنها تأکید کردند که این کمپین با موفقیت چندین دروازه ایمیل امن (SEG) از جمله Microsoft APT، Proofpoint و Mimecast را دور زده است که نشان دهنده رویکرد پیچیده مهاجمان است.
این کمپین حدود فوریه 2025 آغاز شد اما به نظر میرسید که در اواسط مارس 2025 کند شد. این نشان میدهد که چگونه مجرمان دائماً روشهای جدید و پیچیدهای را برای فریب مردم به صورت آنلاین امتحان میکنند، و این امر باعث میشود که همه افراد در مورد ایمیلهایی که دریافت میکنند و وبسایتهایی که بازدید میکنند بسیار مراقب باشند.
