Pojavio se novi talas phishing napada koji se imitira kao japanski gigant za maloprodaju elektronike Yodobashi Camera, koristeći hitnost i povjerenje u brend za krađu akreditiva kupaca.
Firma za sajber bezbjednost Symantec prijavila je kampanju, koja koristi e-poštu pod nazivom „Yodobashi.com: Obavještenje o zahtjevu za promjenom ‘Informacija o klijentu’” kako bi primaoce navela da posjete lažne stranice za prijavu.
Napadi naglašavaju evoluirajuću taktiku u društvenom inženjeringu, uključujući višestepena preusmjeravanja i iskorištavanje sigurnosnih alata za maskiranje malicioznih namjera.
U phishing mejlovima, koji se šalju Yodobashi kupcima od sredine februara 2025., tvrdi se da su podaci o računu primaoca promijenjeni i podstiču hitnu verifikaciju.
Prevedena linija predmeta glasi : “ヨドバシドットコム:「お客様情報」変更依頼受付のご連絡_ID: [random_com]” ( Codob_12:12. Informacije” Promjena ID zahtjeva za obavještenje: [random_12_digits]).
Ugrađene veze preusmjeravaju korisnike kroz više domena, uključujući ugrožene web stranice i stranice u cloud-u, prije nego što dođu na lažni Yodobashi portal za prijavu dizajniran za prikupljanje korisničkih imena, lozinki i podataka o plaćanju.
Naime, kampanja koristi Symantec Click-Time URL Protection, legitimnu sigurnosnu uslugu, da prikrije maliciozne veze.
Napadači su generisali lažne banere “skenirane od strane Symanteca” unutar e-poruka kako bi lažno uvjerili primaoce u legitimnost.
Ova taktika odražava operaciju krađe identiteta iz 2024. koja je zloupotrijebila Symantecove alate za prepisivanje URL-ova kako bi zaobišla filtere e-pošte.
Korisnici Yodobashi kamere pod napadom
Yodobashi kamera je meta phishinga. U aprilu 2020., napadači su lažno predstavljali portal za članstvo u maloprodaji, usmjeravajući žrtve na domene kao što je yodobashi.mwc.[恶意域名].cn da ukradu podatke o kreditnim karticama.
Međutim, kampanja 2025. odražava napredak u lokalizaciji i tehničkom izbjegavanju.
Na primjer, poddomene sada uključuju nizove na japanskom jeziku (npr. soumui , upućivanje na japansko Ministarstvo unutrašnjih poslova) kako bi se povećao kredibilitet, taktika koja je ranije primjećena u phishing šemama jp domena.
Globalno, phishing napadi su postali složeniji. Zscalerova predviđanja za 2025. upozoravaju na sadržaj generisan vještačkom inteligencijom koji prilagođava prevare pojedinačnim žrtvama, dok napadi “pregledač u pretraživaču” oponašaju legitimne prozore za prijavu.
Yodobashi kampanja je u skladu s ovim trendovima, koristeći dinamički generisane ID-ove i lokalizirane mamce za smanjenje sumnje.
Višestepena preusmjeravanja :
Veze u e-porukama prolaze kroz posredničke stranice benignog izgleda, kao što su web stranice za hosting PDF-a, prije nego dođu do phishing portala. Ova tehnika zaobilazi početna skeniranja e-pošte i komplikuje otkrivanje prijetnji.
Pretvaranje domena :
Napadači su registrovali domene kao što je yodobash.curtain-[恶意域名].com , kombinujući legitimne izraze brenda sa nasumično odabranim nizovima kako bi izbegli stavljanje na crnu listu. Homografski napadi upotrebom japanskih znakova dodatno prikrivaju neslaganja.
Prikupljanje akreditiva :
Lažna stranica za prijavu kopira Yodobashijev službeni interfejs, ali nema HTTPS enkripciju i prikazuje nepravilne strukture domena. Poslani podaci se eksfiltriraju na servere koje kontrolišu napadači, što omogućava krađu identiteta i finansijsku prevaru.
Sa 942 GB podataka ukradenih od japanskog dobavljača automobila HARADA INDUSTRY u zasebnom Qilin ransomware napadu, preduzeća moraju dati prioritet obuci zaposlenih i otkrivanju prijetnji vođenom vještačkom inteligencijom.
Symantec savjetuje organizacijama da usvoje okvire „ nulte pouzdanosti “, izolirajući korisničke uređaje od kritičnih mreža kako bi ograničili bočno pomicanje nakon proboja.
Kako taktike phishinga postaju sve sofisticiranije, budnost potrošača i suradnja industrije ostaju ključni u suzbijanju digitalne prevare.
Yodobashi kupcima se trenutno savjetuje da s oprezom postupaju s neželjenim upozorenjima na račun; trenutak skepticizma mogao bi spriječiti nepovratnu finansijsku i reputaciju.
Izvor: CyberSecurityNews
