Avisos de vencimiento de nombres de dominio que roban datos a través de un sitio de phishing


¿Ha recibido una notificación por correo electrónico de que su dominio está a punto de caducar? La mayoría de los propietarios de sitios net lo han hecho. Pero, ¿prestas mucha atención a quién es y a la tarifa de renovación? De lo contrario, es posible que esté tirando dinero a un estafador.

Rapid Mend Security Labs se ha encontrado recientemente con una estafa de phishing relacionada con los nombres de dominio. Y queremos brindar algunas suggestions sobre las formas de identificar la estafa y protegerse de ser víctima.

Los investigadores de seguridad dicen que los dominios caducados pueden poner en riesgo los datos. Los piratas informáticos utilizan dominios caducados para robar datos de tarjetas de crédito o información de contacto. O pueden apuntar a cuentas de correo electrónico vinculadas al dominio para estafar a los clientes y robar secretos de la empresa.

¿Qué es el phishing?

El phishing es un intento fraudulento de obtener información confidencial, como nombres de usuario, contraseñas e información de pago, disfrazándose como una entidad confiable en una comunicación electrónica.

En otras palabras, el phishing es un tipo de estafa en línea en la que los delincuentes o atacantes envían un correo electrónico que parece provenir de una fuente o empresa legítima y le solicitan que proporcione información confidencial.

Se está produciendo un nuevo ataque de phishing, del que debe estar al tanto de un correo electrónico de phishing reciente, el «Estafa de vencimiento de nombre de dominio». El objetivo de esta estafa es engañar a las personas con vencimientos de nombres de dominio falsos para robar información de pago confidencial de los consumidores o realizarles pagos.

Fig.1 Flujo de ataque de phishing

Observamos un ataque de correo electrónico de phishing durante nuestro análisis. La víctima recibió varios correos electrónicos de phishing en su correo registrado de diferentes ID de correo. En el correo, los atacantes mencionaron «Fecha de vencimiento de los servicios de dominio». Los atacantes envían avisos de vencimiento de servicios de dominio falsos al usuario. Esta fecha no es una fecha de vencimiento correcta.

Fig.2 Correo electrónico de phishing

En el correo anterior, se incrusta una URL maliciosa abreviada que conduce a un ataque de phishing.

https (:) // little bit.ly/3l2vkND

Esta URL de bits redirige al usuario a otro sitio web de phishing.

URL: https (:) // webdomainsrvcs.com

Información sobre la URL anterior y sus respectivas:

URL: https (:) // webdomainsrvcs.com

  • IP: 105.65.125
  • Tipo de servidor: apache
  • País: Rusia
  • Ciudad: Moscú
  • ISP: HOSTKEY B.V.
  • Organización: Servidor LLC v arendy (hostkey.ru)

Fig.3 Sitio de phishing

Este sitio world wide web redirigido le pide a la víctima que entire información básica como nombre de dominio, dirección de correo electrónico, número de teléfono y firma electronic, como se muestra a continuación.

Fig.4 Página de información del usuario

Después de enviar los detalles en el formulario dado y hacer clic en el botón Enviar, se redirige a una página que mostrará algunos planes para la renovación del dominio.

Fig.5: Planes de renovación de dominios

Después de hacer clic en PAGAR AHORA en cualquiera de los planes esta página redirige al usuario a la página de pago (PayPal).

Fig.6: Página de pago

Gráfico VT

Fig.7 Gráfico VT

Aquí, podemos ver el Nodo raíz https (:) // bit.ly/3l2vkND se está comunicando con los archivos maliciosos.

¿Cómo podemos detectar y evitar caer en este tipo de estafas de phishing?

  • Validar enlaces y adjuntos: No haga clic y abra ningún enlace y los archivos adjuntos adjuntos en Mail, valídelo y luego ábralo.
  • Configurar la renovación automática: Utilice los servicios de renovación automática de nombres de dominio. Por lo tanto, puede ignorar todos los correos de renovación, que podrían ser correos de suplantación de identidad.
  • Utilice el sitio web del registrador: Renueve su nombre de dominio únicamente a través del sitio world-wide-web del registrador oficial.
  • Información de Registro: Utilice la protección de privacidad del dominio. Vale la pena.

COI:

URL cortas: Estos acortan little bit.ly Las URL redirigen a las URL maliciosas que se indican a continuación.

  • https (:) // little bit.ly/3l2vkND
  • https (:) // little bit.ly/38sIQVM
  • https (:) // bit.ly/2PSyhVH
  • https (:) // little bit.ly/3raUDj5
  • https (:) // little bit.ly/3qDXcc6
  • https (:) // bit.ly/38tbshO
  • https (:) // bit.ly/3pNezHb

URL maliciosas:

  • http (:) // dominiosrvcsexpiry.com/
  • https (:) // domainsrvcsexpiry.com/03/09/2021be
  • http (:) // domainsrvcsexpiry.com/03/09/2021bj/
  • https (:) // dominiosrvcsexpiry.com/03/09/2021ae
  • http (:) // domainsrvcsexpiry.com/03/09/2021ab

Rahul Pawar



Enlace a la noticia original