GoDaddy перетворює Betr; субдомени ger

Зломані акаунти використовувались спеціально для продажу передбачуваних чудодійних таблеток

Санта-Клара/Скоттсдейл (pte026/26.04.2019/11:30) - Реєстратор та веб-хостинг GoDaddy http://godaddy.com закрив близько 15 000 субдоменів, якими шахраї зловживали, продаючи сумнівні чудодійні таблетки, починаючи від дієти і закінчуючи допінгом. Злочинці, очевидно, викрали вірчі дані законних клієнтів і створили сторінки, які потім використовувались у спам-кампаніях з мільйонами електронних листів про сміття. Мережа виявила блок 42 http://unit42.paloaltonetworks.com спеціаліста з безпеки компанії Palo Alto Networks.

чудодійні таблетки

Велика мережа шахрайства

Дослідник підрозділу 42 Джефф Уайт виявив шахрайські домени під час розслідування великої спам-кампанії, здійсненої шахрайськими маркетинговими філіями. Сміттєві листи призвели до разюче схожих сайтів, які насправді рекламують абсолютно різні продукти, такі як таблетки для схуднення, прискорювачі мозку та допінги. Зокрема, вигадані відгуки знаменитостей від таких знаменитостей, як Стівен Хокінг, Дженніфер Лопес чи Гвен Стефані, використовувались як тактика продажів. Мета: жертвам слід обдурити, мимоволі підписуючись на дорогі, безглузді підписки.

Однак у цьому випадку шахраї не просто робили ставку безпосередньо на одноразові домени. "Коли я вперше почав проводити дослідження, швидко натрапив на сотні доменів, багато з яких виявилися скомпрометованими і не призначеними для спаму", - пояснює Уайт. Фактично законні субдомени, розміщені на GoDaddy, були явно використані для переспрямування. Люди, які стоять за кампанією шахрайства, очевидно, працювали з викраденими даними доступу, які вони отримували або через фішинг, або за допомогою так званого "набору даних".

Єдиний пароль, яким легко зловживати

За допомогою набору облікових даних злочинці намагаються з’ясувати, чи працюють викрадені дані доступу певних користувачів на одній сторінці на інших веб-сайтах, якими вони користуються. Зрештою, є багато людей, які використовують один і той же пароль для різних служб. Завдяки цьому всі облікові записи можуть бути зловживані - і, можливо, також піддомен GoDaddy, керований цими даними доступу. Однак незрозуміло, в якій частці сайтів шахрайства злочинці насправді застосовували цю тактику.

У будь-якому випадку, згідно з підрозділом 42, GoDaddy у березні цього року вимкнув близько 15 000 постраждалих субдоменів і попросив законних власників відповідних облікових записів скинути свої паролі. Для користувачів, які потрапили у спам-кампанію, це, звичайно, мало корисно; їм доводиться мати справу із тим, що виплати за їх передплату припиняються. Щоб цього не сталося з користувачами (знову ж таки), Уайт посилається на старе емпіричне правило у зв’язку з сумнівними електронними листами про чудодійні таблетки: «Якщо це звучить занадто добре, щоб бути правдою, це, мабуть, теж».