Η ανώνυμη πλατφόρμα blogging του Telegram, το Telegraph, αξιοποιείται ενεργά από παράγοντες phishing που εκμεταλλεύονται τις χαλαρές πολιτικές της πλατφόρμας για να δημιουργήσουν ενδιάμεσα landing pages που οδηγούν σε κλοπή account credentials.
Δείτε επίσης: Η Intuit προειδοποιεί τους πελάτες του QuickBooks ότι στοχοποιούνται σε επιθέσεις phishing
Η Telegraph είναι μια πλατφόρμα blogging που επιτρέπει σε οποιονδήποτε να δημοσιεύσει οτιδήποτε χωρίς να δημιουργήσει λογαριασμό ή να παρέχει στοιχεία ταυτότητας.
Αν και αυτό παρέχει ανωνυμία στον publisher, επιτρέπει και την ευρεία κατάχρηση από απειλητικούς παράγοντες για τις δικές τους καμπάνιες.
Οι δημοσιευμένες αναρτήσεις της Telegraph δημιουργούν ένα link που οι απειλητικοί φορείς μπορούν να διανείμουν με όποιον τρόπο επιλέξουν, αλλά δεν υπάρχει κεντρική τοποθεσία για την προώθηση αυτών των αναρτήσεων στην κοινότητα. Ως εκ τούτου, η πλατφόρμα Telegraph είναι γρήγορη, απλή και ανώνυμη.
Επιπλέον, επειδή το πρόγραμμα επεξεργασίας της Telegraph υποστηρίζει την προσθήκη εικόνων, συνδέσμων και προσφέρει επιλογές μορφοποίησης κειμένου, θα μπορούσε κανείς να κάνει μια ανάρτηση να φαίνεται σαν μια ιστοσελίδα, συμπεριλαμβανομένων των φορμών σύνδεσης.
Σελίδες phishing
Σύμφωνα με μια αναφορά του INKY που κοινοποιήθηκε στο Bleeping Computer πριν από τη δημοσίευση, οι χειριστές της phishing καμπάνιας χρησιμοποιούν την πλατφόρμα του Telegram – Telegraph – εκτενώς για να δημιουργήσουν phishing sites που μοιάζουν με website landing pages ή login portals.
Τα δεδομένα του INKY από τα τέλη του 2019 έως τον Μάιο του 2022 δείχνουν ότι η συμπερίληψη συνδέσμων της Telegraph στα phishing emails σημειώνει απότομη άνοδο, καθώς πάνω από το 90% όλων των ανιχνεύσεων σημειώθηκε φέτος.
Δείτε επίσης: Hackers στοχεύουν τη ρωσική κυβέρνηση με phishing επιθέσεις
Τα ποσοστά παράδοσης phishing email είναι εξαιρετικά, επειδή αυτά τα links φιλοξενούνται στην Telegraph, μια πλατφόρμα που δεν επισημαίνεται ως επικίνδυνη ή ύποπτη από καμία λύση ασφάλειας ηλεκτρονικού ταχυδρομείου.
Σε πολλές περιπτώσεις, το INKY παρατήρησε ότι τα phishing emails προέρχονταν από παραβιασμένους λογαριασμούς email, έτσι τα blocklists σε γνωστές διευθύνσεις απάτης παρακάμπτονταν.
Στις περισσότερες από τις καταγεγραμμένες περιπτώσεις, ο στόχος των φορέων phishing είναι να διενεργούν απάτες κρυπτονομισμάτων ή να συλλέγουν τα account credentials των στόχων τους.
Οι περιπτώσεις που παρατηρήθηκαν από το INKY ποικίλλουν πολύ, υποδεικνύοντας ότι η κατάχρηση της Telegraph προέρχεται από πολλές ομάδες/παράγοντες και όχι από ένα συγκεκριμένο σύμπλεγμα απειλών.
Ένα παράδειγμα είναι μια ειδοποίηση OneDrive που οδηγεί σε μια σελίδα σύνδεσης της Microsoft με ρεαλιστική εμφάνιση, όπου ζητείται από το θύμα να εισάγει τα credentials του λογαριασμού του.
Σε άλλη περίπτωση, το INKY είδε ένα μήνυμα που απειλούσε ότι θα διέρρεαν ιδιωτικά αρχεία εάν ο παραλήπτης δεν πλήρωνε τα λύτρα. Η πύλη πληρωμών φιλοξενείται απευθείας στην Telegraph, προσφέροντας πολλαπλές επιλογές πληρωμής για τα scammed θύματα.
Πώς να προστατεύσετε τον εαυτό σας
Οι χάκερ πειραματίζονται συνεχώς με νέες τακτικές που μπορεί να αυξήσουν τις πιθανότητες επιτυχίας τους. Συχνά πετυχαίνουν αυτόν τον στόχο συνδυάζοντας κλεμμένους λογαριασμούς email και δωρεάν ιστότοπους όπως η Telegraph.
Για αυτόν τον λόγο, οι χρήστες δεν θα πρέπει να εμπιστεύονται ένα email μόνο και μόνο επειδή πέρασε από ασφάλειες. Εάν έχει ένα link στο σώμα κειμένου, τοποθετήστε το δείκτη του ποντικιού πάνω του για να δείτε πού ανακατευθύνεται πριν κάνετε κλικ.
Δείτε επίσης: Phishing sites χρησιμοποιούν chatbots για να κλέψουν credentials
Κάθε φορά που καταλήγετε σε έναν ιστότοπο που ζητά τα credentials του λογαριασμού σας, επιβεβαιώστε ότι έχετε φτάσει στην επίσημη πύλη σύνδεσης προτού πληκτρολογήσετε οτιδήποτε στα πλαίσια.
Πηγή πληροφοριών: bleepingcomputer.com
