Фишинговые страницы, размещенные на сервисах Microsoft Azure и Google Sites рекламируются через комментарии, которые размещаются на легитимных сайтах сетью из ботов, которую контролируют злоумышленники. Такая тактика позволяет увеличить трафик, повысить рейтинг фейкового сайта в поисковых системах и обойти системы автомодерации. Новая кампания была замечена аналитиками компании Netskope , которые отметили, что эта тактика позволила некоторым мошенническим сайтам появиться в качестве первого результата в поиске Google . Что еще хуже, как показано ниже, Google также включил фишинговые страницы в Выделенные описания, обеспечив им максимальную видимость в результатах поиска. В компании, замеченной Netskope, мошенники создавали сайты, имитирующие Metamask , Coinbase , Gemini и Kraken , чтобы обмануть жертв и получить данные их криптокошельков. Страницы, созданные на Azure и Google Sites – лендинги, которые перенаправляют жертв на настоящие фишинговые страницы после нажатия кнопки “вход”.
На фишинговых страницах злоумышленники пытаются украсть учетные данные или seed-фразы жертвы. Вся схема выглядит так:
На всех фишинговых сайтах пользователи вводят свои учетные данные, после чего перенаправляются на фальшивую страницу, которая просить указать жертву свой номер телефона и ввести код из СМС;
Как только пользователь вводит код, сайт выдает фальшивую ошибку о несанкционированной активности и проблемах с авторизацией, заставляя жертву нажать на кнопку «Обратиться к эксперту»;
После этого жертва попадает на страницу с онлайн-чатом, где мошенник, выдающий себя за работника технической поддержки, заставляет жертву установить TeamViewer.
После этого злоумышленник может получить удаленный доступ к устройству жертвы, а затем собрать коды многофакторной аутентификации, необходимые для входа в аккаунты жертвы на криптобиржах.