自2022年6月以来,一场针对100多个流行服装、鞋类和服饰品牌的大范围品牌假冒活动一直在肆虐,欺骗人们在虚假网站上输入账户凭据和财务信息。
这些被虚假网站假冒的知名品牌包括:耐克、彪马、亚瑟士、范斯、阿迪达斯、哥伦比亚、匡威、卡西欧、天伯伦、所罗门、卡骆驰、斯凯奇、乐斯菲斯(又译北面)、UGG、盖尔斯、卡特彼勒、新百伦 、斐乐、马腾斯(又译马丁靴)、锐步和汤米费格等。
据发现这起活动的Bolster威胁研究小组声称,该活动依赖至少3000个域名和大约6000个网站,包括不活跃的域名和网站。
Bolster声称,这起活动在2023年1月至2月期间出现了活动突然猖獗的局面,每月新增300个虚假网站。
域名遵循的模式是使用品牌名称和城市或国家名称,后面跟一个通用的顶级域名(TLD),比如“.com”。
研究人员表示,这起活动运作了冒充耐克、彪马和克拉克的10多个假冒网站,网站设计与这些品牌的官方网站非常相似。
图1. 针对意大利用户的假冒彪马网站(图片来源:BleepingComputer)
这些诈骗域名可以追溯到自治系统编号AS48950,由两家互联网服务提供商Packet Exchange Limited和Global Colocation Limited托管。
大多数域名都是通过阿里巴巴新加坡网站注册的,域名使用年限从两年到90天不等。
域名老化是网络钓鱼活动的一个关键因素,因为域名存活的时间越长,但仍然保持无害,那么被安全工具标记为可疑域名的可能性就越小。
让域名老化至少两年是Confiant在去年声称的一种现象;Confiant观察到,自2018年以来,一起全球恶意广告活动一直在成功地使用这种策略。
而在Bolster发现的这起活动中,许多恶意域名存活了如此长的时间,又没有被举报,以至于谷歌搜索将它们编入了索引,现在很可能在特定搜索词中排名靠前。
这是一种特别有效的策略,可以引诱毫无戒备的用户访问钓鱼网站,因为大多数人将谷歌搜索中的高排名与可信度和可信赖性联系在一起。
图2. 冒牌克拉克网站在谷歌搜索中排名第一(图片来源:BleepingComputer)
BleepingComputer浏览了其中一些网站上的页面,发现它们并不是仓促建成的克隆网站,因为它们有逼真的“关于我们”页面,附有联系方式,订单页面功能也正常,通常很难识别是可疑网站。
目前尚不清楚多少网站在这起活动中采用了这种诈骗策略,但Bolster表示,这些网站要么从不发送消费者购买的产品,要么发送来自国外的劣质山寨品。
此外,在结账页面上输入的任何详细信息(尤其是信用卡详细信息)都可能被网站运营方存储并转售给网络犯罪分子。
在搜索某个品牌的官方网站时,跳过谷歌搜索上的所有推广宣传结果。如果仍然不确定,可以查看该品牌的维基百科页面或社交媒体渠道,以了解其合法网址。
翻译自:https://www.bleepingcomputer.com/news/security/massive-phishing-campaign-uses-6-000-sites-to-impersonate-100-brands/