A Spiderman elnevezésű új adathalász készlet (phishing kit) a legitim oldalak pixelpontos másolataival európai bankokat és kriptoszolgáltatók ügyfeleit veszi célba. A platform lehetővé teszi a kiberbűnözők számára olyan adathalász kampányok indítását, amelyekkel belépési adatok, kétfaktoros hitelesítési (2FA) azonosítók és bankkártya-adatok is megszerezhetők.
A Varonis kiberbiztonsági kutatóinak elemzése szerint a Spiderman adathalász készlet öt ország pénzügyi intézményeit veszi célba, köztük olyan meghatározó szereplőket, mint a Deutsche Bank, ING, Comdirect, Blau, O2, CaixaBank, Volksbank és a Commerzbank. A kutatók megállapították, hogy a rendszer fintech vállalatok online portáljaihoz is képes adathalász oldalak létrehozására, többek között a svéd Klarna és a PayPal felületeit imitálva. Emellett kriptotárcák (Ledger, MetaMask és Exodus) seed phrase-einek (helyreállító kulcssorainak) megszerzésére is alkalmas.
A kutatók szerint a Spiderman kifejezetten népszerű a kiberbűnözők körében. Az irányítópulton keresztül a Spiderman adathalász készlet üzemeltetői valós időben követhetik az áldozatok munkamenetét, rögzíthetik a hitelesítő adatokat, egykattintásos adatexportot végezhetnek, valós időben elfoghatják a PhotoTAN/one-time pass (OTP)-kódokat, valamint begyűjthetik a bankkártya-adatokat.
A PhotoTAN egy OTP-alapú hitelesítési rendszer, amelyet Európában számos pénzintézetnél alkalmaznak. Bejelentkezéskor vagy a tranzakció jóváhagyásakor egy színes mozaikkép jelenik meg, amelyet a felhasználónak a bank mobilalkalmazásával kell beolvasnia. Az alkalmazás dekódolja a mozaikot, majd megjeleníti az adott tranzakcióhoz tartozó OTP-kódot, amelyet vissza kell írni a bank weboldalára.
A Spiderman mögött álló operátorok az adminisztrációs felületen konfigurálhatják a támadás célzását meghatározó feltételeket: országok szerinti szűrés, ISP-alapú engedélyezési listák, eszköztípus szerinti szűrés (mobil vagy asztali felhasználók), valamint átirányítások beállítása azon felhasználók számára, akik nem felelnek meg az adathalász támadás feltételeinek.
A Varonis kutatói arra figyelmeztetnek, hogy a Spiderman által megszerzett adatok felhasználása komoly biztonsági kockázatot jelent és a következő incidensekhez vezethet:
- bankszámlafiók-átvétele (account takeover),
- SIM-csere csalások,
- bankkártyákkal való visszaélések,
- személyazonosság-lopás.
Az adathalász támadások alapja, hogy az áldozat egy linkre kattintva egy hamis bejelentkezési oldalra kerül. A leghatékonyabb védekezés az, ha mindig ellenőrizzük a domain hitelességét, mielőtt megadjuk belépési adatainkat. Emellett érdemes figyelni az úgynevezett browser-in-the-browser (BitB) ablakokra, amelyek megtévesztő módon a legitim URL-látszatát keltik.
Amennyiben a felhasználó SMS-ben vagy PhotoTAN-értesítés formájában olyan műveletről kap visszajelzést, amelyet nem ő kezdeményezett, az nagy valószínűséggel fiókátvételi kísérletre utal, melyet haladéktalanul jelenteni kell az érintett pénzintézetnek.
A pénzügyi csalások elkerüléséhez további információ található a KiberPajzs weboldalán.