Lažni tenderi i PDF dokumenti: Nova phishing prevara cilja poslovne korisnike

Kako izgleda nova phishing prevara

 

Naizgled rutinski poslovni email o „tenderu“ ili „nabavci“ može djelovati potpuno bezazleno i lako vas navesti da kliknete bez razmišljanja. Upravo na takvu reakciju računaju sajber kriminalci koji stoje iza nove phishing kampanje koju su otkrili istraživači kompanije Forcepoint.

Napad počinje emailom koji izgleda potpuno „čisto“. U njemu nema sumnjivih linkova niti očigledno zlonamjernih priloga koji bi odmah pobudili sumnju. Umjesto toga, ključnu ulogu ima PDF dokument u prilogu.

 

PDF kao oružje: Skriveni linkovi u legitimnom fajlu

 

Napadači zloupotrebljavaju funkcije PDF formata, poput AcroForms i FlateDecode, kako bi sakrili klikabilne elemente unutar dokumenta koji izgleda kao običan kancelarijski fajl. S obzirom na to da korisnici uglavnom više vjeruju PDF prilozima nego linkovima u emailovima, ova metoda značajno povećava vjerovatnoću interakcije.

 

Zloupotreba pouzdane cloud infrastrukture

 

Klik na skriveni link vodi do drugog dokumenta koji je smješten na Vercel Blob platformi, legitimnoj cloud infrastrukturi. Korištenjem pouzdanih servisa, napadači dodatno otežavaju detekciju, jer sigurnosni sistemi rjeđe blokiraju sadržaj koji dolazi s poznatih cloud provajdera.

 

Lažna Dropbox stranica i krađa podataka

 

Ovaj dokument zatim preusmjerava žrtvu na lažnu stranicu za prijavu koja gotovo savršeno imitira Dropbox interfejs. Iako vizuelno izgleda autentično, stranica u pozadini pokreće skriptu koja prikuplja osjetljive podatke: email adresu, lozinku, IP adresu, geolokaciju (grad i državu) te tip uređaja.

Prikupljeni podaci se automatski šalju u privatni Telegram kanal putem „hardkodiranog“ bota pod kontrolom napadača.

 

Kako napadači prikrivaju krađu

 

Da bi sakrili krađu podataka, lažna stranica uvijek prikazuje poruku o grešci prilikom prijave. Time se stvara utisak da je korisnik samo pogrešno unio lozinku, iako su podaci već kompromitovani.

 

Na šta posebno treba obratiti pažnju

 

Ovaj slučaj jasno pokazuje da je potreban dodatni oprez ako poslovni dokument iznenada zahtijeva prijavu na korisnički nalog, naročito kada dolazi putem PDF priloga. U takvim situacijama obavezno provjerite pošiljaoca i autentičnost zahtjeva prije nego što preduzmete bilo kakvu radnju.