Nicolai Busekist
En række svindlere har – desværre – haft succes med at narre mere end 500.000 ofre.
Svindlere har udgivet sig for at repræsentere lønsystemer, kreditforeninger og handelsplatforme i hele USA i et forsøg på at stjæle loginoplysninger og koder til multi-faktor-godkendelse (MFA), lyder det fra eksperter.
Eksperter i cybersikkerhed fra Check Point har identificeret gerningsmændene, som de kalder ‘Payroll Pirates’. Gruppen bruger betalte annoncer på populære netværk som Google og Bing til at reklamere for falske løn- og HR-portaler.
Når en medarbejder leder efter sin arbejdsgivers lønportal i stedet for at skrive webadressen direkte i browseren, bliver den falske side vist øverst i søgeresultaterne. Hvis den ansatte klikker på linket og logger ind, bliver loginoplysningerne automatisk videresendt til svindlerne.
Ifølge eksperterne har operationen over tid været rettet mod intet mindre end 200 platforme og lokket omkring en halv million brugere i fælden. Det skriver TechRadar.
Kampagnen gik tilsyneladende i dvale i slutningen af 2023, men vendte tilbage i midten af 2024 med opdaterede phishing-værktøjer, der kunne omgå multi-faktor-godkendelse.
Svindlerne brugte Telegram-bots til at kommunikere direkte med ofrene i realtid, hvor de bad om engangskoder og lignende. Bagved blev systemets struktur ændret for at skjule, hvordan de stjålne data blev sendt ud, hvilket gjorde det langt vanskeligere at opdage eller stoppe netværket.
Da gruppen driver to store infrastruktur-klynger, mente Check Point i første omgang, at der var tale om flere uafhængige kampagner.
Den ene brugte Google-annoncer og såkaldte ‘white page’-viderestillinger, som var hostet i Kasakhstan og Vietnam, mens den anden benyttede Bing-annoncer og ældre domæner, der blev skjult via cloaking-tjenester.
Senere undersøgelser viste dog, at det hele var del af ét sammenhængende netværk. Logfiler afslørede mindst fire administratorer, der styrede forskellige Telegram-kanaler, som var rettet mod specifikke mål – herunder lønportaler, kreditforeninger og sundheds- og personaleportaler.
Forskerne fandt endda en af administratorerne, der havde delt en video fra Odessa, hvilket tyder på, at mindst én af bagmændene befinder sig i Ukraine.
Check Point advarer desuden om, at ‘Payroll Pirates’ fortsat er aktive, løbende forbedrer deres metoder og målretter sig mod enhver, hvis lønudbetaling foregår digitalt.
