Mindent a Microsoft-fiókodra utaznak
Idén január óta mintegy 447 .es domainen, 1373 aldomainen jelentek meg adathalász weboldalak, amelyek túlnyomó többsége – 99 százaléka – arra próbál rávenni, hogy adjuk meg Microsoft-fiókunk adatait. A maradék 1 százalék távoli hozzáférést biztosító kártevőket, például a ConnectWise RAT-et, a Dark Crystal-t (Dark Crystal) és az XWormot terjeszt. Jellemzően ezek a fertőzött oldalak vagy egy távoli vezérlőegységről (C2), vagy egy hamis, jól ismert márkára – 95 százalékban a Microsoftra – hivatkozó e-mailből érkeznek.
Miért pont az .es?
Érdekesség, hogy az adathalász e-mailek gyakran munkával kapcsolatos témákat dolgoznak fel – például HR-ügyek vagy dokumentumok átvételével kapcsolatos kérések –, és nem az olcsó, egy mondatos trükkök közé tartoznak. Az ilyen weboldalakat általában véletlenszerűen generált URL-en (pl. ag7sr.fjlabpkgcuo.es) teszik elérhetővé, ami ugyan feltűnőbb lehet, de még mindig sokakat megtéveszt.
Nem tudni pontosan, miért lett hirtelen népszerű az .es, hiszen az ilyen országkódos domainek (ccTLD) általában szigorúbb szabályozás alatt állnak, és nehezebb tömegesen regisztrálni őket. Azonban most mégis úgy tűnik, hogy az internetes bűnözők körében egyre népszerűbbé vált, és ez a tendencia tartós maradhat.
A Cloudflare a háttérben
Az oldalak 99 százalékát a Cloudflare hosztolja, jellemzően Cloudflare Turnstile védelmet használva. Bár a Cloudflare egyszerűen és gyorsan teszi lehetővé oldalak létrehozását, nem tudni, hogy a csalók azért választják ezt, mert technikailag kényelmes, vagy mert a cég kevésbé szigorú az ilyen visszaélések jelentésével szemben. Egy biztos: már nem csak néhány specialista, hanem széles körben alkalmazzák ezt a módszert a támadók.
Az európai országkódos domainek eddig kevésbé voltak kitéve visszaélésnek, de az .es most kemény menetbe kezdett az online csalók világában.
