Cyberprzestępcy podszywają się pod portale z ofertami kupna-sprzedaży samochodów – ostrzegają eksperci Check Point Research, którzy w ostatnich dniach wykryli aż 14 kampanii phishingowych skierowanych przeciwko potencjalnym klientom niemieckich dealerów samochodowych. Hakerzy rejestrując domeny udające wirtualne giełdy samochodowe, najprawdopodobniej starali się nie tylko przechwycić dane użytkowników poszukujących wymarzonego samochodu, ale również obrać za cel producentów i dostawców.

Z roku na rok rośnie liczba osób poszukujących oraz dokonujących zakupu aut przez Internet, a trend ten dodatkowo wzmocniła ustępująca pandemia COVID-19. W Unii Europejskiej, nawet 4 proc. transakcji dokonywana jest za online. W Polsce odsetek ten jest niemal czterokrotnie niższy, jednak również nasi rodacy przekonują się do nowych trendów zakupowych, o czym świadczy rosnąca popularność portali pokroju AutoHero czy Carsmile.

Kuszą nas przede wszystkim pojazdy używane – aż 58 proc. klientów indywidualnych decyduje się na pojazdy z drugiej ręki. Nic więc dziwnego, że branża motoryzacyjna stała się kolejną ofiarą cyberprzestępców. Jak poinformowali eksperci z Check Point Research, w ostatnich tygodniach wykryto kilkanaście kampanii hakerskich wycelowanych w potencjalnych klientów niemieckich platform z ofertami motoryzacyjnymi oraz ich partnerów.

– Odkryliśmy atak ukierunkowany wymierzony w niemieckie firmy, głównie dealerów samochodowych. Zagrożenia wykorzystują rozległą infrastrukturę zaprojektowaną do naśladowania istniejących niemieckich firm. Osoby atakujące wykorzystywały wiadomości phishingowe zawierające kombinację ładunków ISO\HTA, które po otwarciu infekowały ofiary różnymi szkodliwymi programami kradnącymi informacje – informuje Yoav Pinkas, badacz zabezpieczeń z firmy Check Point Software.

Grupy cyberprzestępcze konfigurowały serwery pocztowe przy użyciu dedykowanych domen i wykorzystywały je do wysyłania wiadomości e-mail dotyczących ofert samochodów. Do wiadomości dołączane były również pliki udające umowy i rachunki rzekomo realizowanych transakcji. Po ich otwarciu pobierane było złośliwe oprogramowanie wykradające poświadczenia i dane użytkowników.

– Nie mamy rozstrzygających dowodów wskazujących na motywację atakujących, ale uważamy, że chodziło o coś więcej niż tylko zebranie danych karty kredytowej lub danych osobowych. Cele są starannie dobierane, a sposób wysyłania wiadomości phishingowych umożliwiałby korespondencję między ofiarami a atakującymi. Jedną z możliwości jest to, że napastnicy próbowali naruszyć salony samochodowe oraz wykorzystać ich infrastrukturę i dane, aby uzyskać dostęp do drugorzędnych celów, takich jak więksi dostawcy i producenci. Byłoby to przydatne w przypadku oszustw typu BEC (Business Email Compromise) lub szpiegostwa przemysłowego – wyjaśnia ekspert Check Pointa.

Uwagę badaczy przyciągnęła inżynieria społeczna, a dokładniej sposób, w jaki cyberprzestępcy wybierali firmy, pod które się podszywali, a także sposób formułowania wiadomości e-mail i załączonych dokumentów. Wykorzystywany w kampaniach hakerskich phishing polega na przekonaniu odbiorcy o autentyczności wiadomości-przynęty.

– Uzyskanie dostępu do kilku ofiar jednocześnie daje napastnikowi znaczną przewagę. Na przykład, jeśli dwóch podwykonawców niezależnie zgłosi znaną sprawę lub rozmowę, to nadaje jej znacznie większą wiarygodność, która później może być wykorzystana – zwraca uwagę Yaov Pinkas.

Analitycy bezpieczeństwa cybernetycznego nie mają wystarczających dowodów na jednoznaczne wskazanie źródła ataku, jednak główna witryna hostująca złośliwe oprogramowanie pochodziła z Iranu, znanego z zaawansowanych ugrupowań cyberprzestępczych. Wśród ofiar mogli znaleźć się nie tylko niemieccy klienci oraz dostawcy, ale również użytkownicy innych narodowości… a przypomnijmy, że niemieckie samochody wciąż stanowią znaczną część sprowadzanych przez Polaków pojazdów.