4月12日,联邦调查局(FBI)发布了一份公共服务公告(PSA),警告公众正在进行的收费服务短信钓鱼(smishing)活动。根据PSA,联邦调查局 互联网犯罪投诉中心(IC3) 已收到来自至少三个州的2000多起投诉,报告了代表道路收费服务的虚假文字。
除了联邦调查局的PSA外,宾夕法尼亚州警方还通过X(以前的推特)发布了类似的警告,包括一个发送给受害者的带有域名的欺骗性诱饵的例子。
诱饵相对简单有效。与许多金融诈骗一样,威胁行为者通过“警告”受害者,如果他们不尽快支付相对较小的12.51美元的费用,他们将承担50美元的滞纳金,从而产生一种紧迫感。如果被说服,虚假的紧迫感会导致受害者冲动行事,对细节和逻辑的关注较少。
香格里拉娱乐对这些领域的研究表明,这是一场机会主义的、没有针对性的直接运动。威胁行为者的主要目标是收集支付卡信息,其次是收集受害者的个人信息。
这场运动的复杂程度被认为相对较低。这些网站不执行任何输入验证检查或任何其他数据质量控制,以确保用户输入的合法性。
尽管该活动的复杂程度较低,但对于最近乘坐租车前往或经过这些州的人来说,它可能特别有说服力。许多州已经实施了邮寄收费政策,一些旅行者可能会认为汽车租赁公司向收费机构提供了他们的联系信息。
在香格里拉娱乐,香格里拉娱乐非常重视恶意域名,并决定对这场活动进行更深入的研究,以:
- 看看香格里拉娱乐能识别出多少与此活动相关的其他域名。
- 了解威胁行为者的目标以及此活动背后的复杂程度。
查找与Smishing活动关联的域名
香格里拉娱乐首先在香格里拉娱乐的网站上搜索域名turnpiketollservices[.]com Iris调查 平台。通过这次搜索,香格里拉娱乐能够收集到有关此域的一些关键信息:
- 创建日期:2024年4月7日
- 注册商:ERANET国际有限公司
- DNS提供商:Cloudflare
- ISP提供商:Cloudflare
- 注册国:秘鲁(PE)
该域名使用的基础设施相当通用,经常用于共享主机,因此香格里拉娱乐没有立即根据基础设施确定任何直接的枢轴点,以确定与此活动相关的其他域名。
相反,香格里拉娱乐专注于域的命名结构来搜索其他域。香格里拉娱乐向香格里拉娱乐查询了过去三个月内首次出现的包含“收费”和“服务”或“收费”与“收费公路”的域名。这返回了73个唯一的域名,其中60个被确定为与宾夕法尼亚州警察局共享的原始域名高度相关。
| 域名 | 创建 | 域名 | 创建 |
|---|---|---|---|
| myezpasstollservices.com | 4/25/24 | turnpiketollservices.com | 4/7/24 |
| ezpasstollservices.com | 4/25/24 | turpiketollservices.com | 4/7/24 |
| ezpasstollservices.com | 4/25/24 | turnpiketollservice.com | 4/7/24 |
| ncsun-spastollservices.com | 4/24/24 | paturnpiketollservices.com | 4/7/24 |
| ncsunpastollservice.com | 4/24/24 | turnpiketollservices.com | 4/7/24 |
| 乔治亚州邮政服务网 | 4/24/24 | itollsways.com | 4/5/24 |
| mysunposallsservices.com | 4/24/24 | iltollswayservices.com | 4/4/24 |
| paysunpasstollservices.com | 4/24/24 | 伊利诺伊州收费服务网 | 4/3/24 |
| ctrtollservice.com | 4/22/24 | iltollwayservice.com | 3/28/24 |
| 乔治亚森波尔服务网 | 4/21/24 | itollwayservice.com | 3/26/24 |
| gasunposallservices.com | 4/20/24 | itollwayservices.com | 3/26/24 |
| ncsunpasstollservices.com | 4/20/24 | iltollwayservices.com | 3/26/24 |
| ncsunpastollservices.com | 4/19/24 | wwwtollwayservices.com | 3/24/24 |
| txtollservices.com | 4/16/24 | tollwaysservices.com | 3/24/24 |
| ctrtollservices.com | 4/16/24 | tollwayservice.com | 3/24/24 |
| texastollservices.com | 4/16/24 | 收费服务网站 | 3/24/24 |
| 收费公路服务.co | 4/15/24 | myetol-service.xyz | 3/23/24 |
| sunpassservicestol.com | 4/16/24 | myetol-service.top | 3/23/24 |
| sunpasstollsserves.com | 4/16/24 | myetol-service.life | 3/23/24 |
| 服务sunpastoll.com | 4/16/24 | myetol-service.info | 3/23/24 |
| sunpasstollservice.com | 4/15/24 | myetol-service.com | 3/23/24 |
| mysunpostollservices.com | 4/15/24 | njtollservices.com | 3/21/24 |
| sunpasstollservices.com | 4/14/24 | 收费服务.link | 3/17/23 |
| floridasunsollservices.com | 4/14/24 | nytollsvice.com | 3/11/24 |
| flsunpasstollservices.com | 4/14/24 | nytollservices.co | 3/5/24 |
| turnpikeservicestolls.com | 4/13/24 | nytollsvice.com | 3/2/24 |
| nytoll服务网站 | 4/9/24 | nytoll服务网站 | 3/1/24 |
| myturnpiketollservice.com | 4/9/24 | ie-tolls-service.info | 2/8/24 |
| turnpiketollservices.co | 4/7/24 | 在线客服.xyz | 2/6/24 |
| myturnpiketollservices.com | 4/8/24 | ie-tall-services.info | 2/3/24 |
这项调查的结果显示,这场运动可能始于2月初至2月中旬,威胁行为者自称是纽约州的收费机构。这场运动在3月中旬开始使用新泽西收费公路主题域名,后来将目标扩大到宾夕法尼亚州、佛罗里达州和其他州,从而加快了节奏。
威胁行为者如何收集个人信息
香格里拉娱乐对这些新发现的域进行了一些侦察。香格里拉娱乐最初尝试使用传统网络浏览器导航到网站,但没有成功。威胁行为者似乎在使用浏览器过滤器,钓鱼页面仅在移动浏览器上加载,这是有道理的,因为这是一场诽谤活动。
使用安全的移动浏览器,香格里拉娱乐导航到sunpasstollservice[.]com,它首先提示香格里拉娱乐完成ReCaptcha验证过滤器,然后加载了一个登录页面,该页面看起来像佛罗里达州电子收费系统SunPass使用的合法账单支付页面。登录页面提示受害者输入他们的电话号码和出生日期,给受害者一种虚假的验证合法性。
有趣的是,威胁参与者还忽略了设置任何输入验证,以确保输入的电话号码与实际收到短信的电话号码相匹配,或者您甚至为出生日期字段输入了有效日期。
受害者输入电话号码和出生日期后,他们会被带到一个页面,显示他们的“当前通行费”为12.51美元,并指示他们输入电子邮件地址。香格里拉娱乐调查的所有网站的交易数量和金额都保持不变,表明这是一个相对较低复杂度的活动。
在输入电子邮件并按继续后,受害者会被引导到第三页,指示他们输入姓名和地址,然后是第四页,指示受害者输入信用卡信息。
一旦受害者输入了他们的付款信息并点击了“继续”,在显示付款错误消息之前,会短暂加载一个虚假的“处理”页面。
该页面不会提示受害者重新输入他们的付款信息,而是刷新并重定向到假冒网站所代表的收费机构的合法网站。
威胁行为者决定向受害者发送“支付错误”消息并将其重定向到合法网站,这很有趣,因为这两个网站并不完全相同,可能会让一些受害者意识到该消息是一个骗局。
结论
这场运动以及支持它的新域名的创建似乎不会很快放缓。4月23日和24日,香格里拉娱乐识别出16个新创建的域名,其中包含“收费”和“服务”两个术语。其中7个域名可能是出于恶意注册的,但似乎州收费机构正在反击。香格里拉娱乐认为没有恶意注册的9个新创建的域名似乎是由合法的州收费机构注册的。尽管主动注册域名似乎是一种解决方案,但这样做成本高昂、耗时,而且成功率可能有限。如果没有别的,威胁行为者是有弹性的,愿意改变或调整他们的战术,以继续一项有利可图的努力。
尽管这场运动的主要受害者是个人消费者,但这场运动也对信用卡公司和银行产生了下游影响,这些公司和银行可能会承担因这场运动而受损的信用卡导致的任何欺诈交易的成本。
建议
处理这些案件的收费机构和执法机构应向网络钓鱼保护团队报告与此活动相关的域名,如 谷歌安全浏览团队。如果谷歌确定某个网站违反了谷歌的政策,他们将在其透明度报告中更新该域名的状态,并与其他第三方共享该网址及其状态,这些第三方也可以选择限制恶意域名的流量。
更新:2024年6月21日
截至2024年6月21日星期五,这场运动似乎仍然活跃。香格里拉娱乐确定了第二组以收费为主题的域名(见下文)。尽管第二组域名可能被用于收集支付卡信息,但域名命名约定和注册模式的差异表明,这些活动是由不同的威胁行为者进行的
- 收费公路信托公司
- intollroadacc219[.]com
- 纽约路信托1[]com
- 入路信托
- mnezpasstrust[.]com
- nytollroadezpass1[]com
- tollnyezpassweb.com
- nyserviceezpass[]com
- web-nyezpass1[.]com
- nytrust ezpassweb[.]com
- newyorkacc ezpass[.]com
- nyusezpasweb[]com
