Объединенная служба посылок (UPS) заявляет, что мошенники собирали телефонные номера и другую информацию с помощью своего онлайн-инструмента отслеживания отправлений в Канаде, чтобы отправлять высоконаправленные SMS-фишинговые сообщения, которые подделывали UPS и другие ведущие бренды. В письмах адресатам назывались имена, содержалась подробная информация о последних заказах и предупреждалось, что эти заказы не будут отправлены, если клиент не оплатит дополнительную плату за доставку.
В письме snail mail, отправленном в этом месяце канадским клиентам, UPS Canada Ltd. сообщила, что ей известно о том, что некоторые получатели посылок получали мошеннические текстовые сообщения с требованием оплаты до доставки посылки, и что она работает с партнерами в своей цепочке доставки, чтобы попытаться понять, как происходило мошенничество.
Недавнее письмо от UPS о SMS-фишерах, собирающих данные об отправке и номера телефонов с ее веб-сайта.
“В ходе этой проверки UPS обнаружила метод, с помощью которого человек, который искал определенную посылку или неправильно использовал инструмент поиска посылок, мог получить больше информации о доставке, потенциально включая номер телефона получателя”, - говорится в письме. “Поскольку эта информация могла быть использована третьими лицами не по назначению, в том числе потенциально в рамках мошеннической схемы, UPS предприняла шаги по ограничению доступа к этой информации”.
Далее в письменном уведомлении говорится, что UPS считает, что раскрытие данных “затронуло посылки для небольшой группы грузоотправителей и некоторых их клиентов в период с 1 февраля 2022 года по 24 апреля 2023 года”.
Уже в апреле 2022 года KrebsOnSecurity начала получать подсказки от канадских читателей, которые недоумевали, почему они только что получили одно из этих SMS-фишинговых сообщений, в котором упоминалась информация из недавнего заказа, который они законно разместили в интернет-магазине.
В марте 2023 года читатель по имени Дилан из Британской Колумбии написал, что получил одно из таких сообщений о мошенничестве с оплатой доставки вскоре после размещения заказа на покупку строительных блоков напрямую у Lego.com. В сообщении указывались его полное имя, номер телефона и почтовый индекс, а также содержался призыв перейти по ссылке на mydeliveryfee-ups[.]info и заплатить 1,55 доллара за доставку, которая предположительно требовалась для доставки его Legos.
“Просматривая текст этого фишингового сообщения, я вижу, что многие люди сталкивались с этим мошенничеством, которое является более убедительным из-за информации, содержащейся в фишинговом тексте”, - написал Дилан. “Мне кажется вероятным, что UPS каким-то образом сливает информацию о предстоящих поставках”.
Джош - читатель, работающий в компании, которая поставляет товары в Канаду, и в начале января 2023 года он поинтересовался, есть ли какая-либо информация о взломе в UPS Canada.
“Мы видели, как многие наши клиенты становились жертвами мошеннической схемы отправки текстовых сообщений UPS после размещения заказа”, - сказал Джош. “Предоставляется ссылка (часто только после того, как клиент ответит на текст), которая приводит вас на страницу с капчей, за которой следует страница сбора мошеннических платежей”.
Анализ домена в сообщении smishing, отправленном Дилану, показывает, что фишинговый домен имеет общий интернет-хост в России [91.215.85-166] с почти двумя десятками других доменов, связанных со smishing, включая upsdelivery[.]info, legodelivery[.]info, adidascanadaltd[.]com, crocscanadafee[.]info, refw0234apple[.]info, vista-printcanada[.]информация и telus-ca[.]информация.
Включение известных брендов в домены этих кампаний по разгрому UPS предполагает, что злоумышленники могли сосредоточить свои поиски на клиентах UPS, которые недавно заказали товары у определенных компаний.
Попытки посетить эти домены с помощью веб-браузера завершились неудачей, но загрузка их на мобильное устройство (или, в моем случае, эмуляция мобильного устройства с использованием виртуальной машины и инструментов разработчика в Firefox) выявила первую стадию этой вредоносной атаки. Как упоминал Джош, первой всплывающей информацией была КАПЧА; после того, как посетитель разгадывал КАПЧУ, он переходил еще на несколько страниц, на которых запрашивались полное имя пользователя, дата рождения, номер кредитной карты, адрес, электронная почта и номер телефона.
Потрясающий веб-сайт, предназначенный для канадцев, которые недавно совершили покупки в Adidas онлайн. Сайт загружался только в мобильном браузере.
В апреле 2022 года KrebsOnSecurity получил сообщение от Алекса, генерального директора технологической компании в Канаде, который попросил не упоминать его фамилию в этой истории. Алекс обратился к ним, когда начал получать смишные сообщения почти сразу после заказа двух комплектов Airpods непосредственно с веб-сайта Apple.
Больше всего Алекса озадачило то, что он дал указание Apple отправить Airpods в подарок двум разным людям, и менее чем через 24 часа на номер телефона, который он использует для своей учетной записи Apple, поступили два фишинговых сообщения, оба из которых содержали приветствия, включавшие имена людей, для которых он купил Airpods.
“Я бы указал получателей как разных людей из моей команды, но поскольку в обоих заказах был указан мой номер телефона, сообщения получал я”, - объяснил Алекс. “В тот же день я получил текстовые сообщения, в которых меня называли два разных человека, ни один из которых не был мной”.
Алекс сказал, что, по его мнению, UPS Canada либо еще не до конца понимает, что произошло, либо скрывает то, что знает. По его словам, формулировка ответа UPS вводит в заблуждение, предполагая, что хакерские атаки каким-то образом были результатом случайного поиска хакерами информации о посылках через веб-сайт компании для отслеживания.
Алекс сказал, что, скорее всего, ответственный за это человек выяснил, как запрашивать на веб-сайте UPS Canada только отложенные заказы от определенных брендов, возможно, используя какой-то тип интерфейса прикладного программирования (API), который UPS Canada производит или предоставил своим крупнейшим розничным партнерам.
“Не похоже, что я отправил заказ [на Apple.ca], а через несколько дней или недель я получил целенаправленную атаку smishing”, - сказал он. “Это было более или менее в тот же день. И это было так, как если бы [фишеры] были уведомлены о существовании заказа ”.
В письме клиентам UPS Canada не упоминается, пострадали ли какие-либо другие клиенты в Северной Америке, и остается неясным, могли ли какие-либо клиенты UPS за пределами Канады стать мишенью.
В заявлении, предоставленном KrebsOnSecurity, базирующейся в Сэнди-Спрингс, штат Джорджия, UPS [NYSE: UPS], говорится, что компания работает с партнерами по цепочке доставки, чтобы понять, как совершалось это мошенничество, а также с правоохранительными органами и сторонними экспертами, чтобы определить причину этой схемы и положить ей конец.
“Правоохранительные органы указали, что наблюдается рост мошенничества, затрагивающего ряд грузоотправителей и множество различных отраслей”, - говорится в электронном письме от Брайана Хьюза, директора по финансовым и стратегическим коммуникациям UPS.
“Из предосторожности UPS рассылает письма с уведомлениями об инцидентах конфиденциальности частным лицам в Канаде, на информацию которых, возможно, повлияла информация”, - сказал Хьюз. “Мы призываем наших клиентов и обычных потребителей узнать о способах защиты от подобных попыток, посетив веб-сайт UPS Fight Fraud”.
(c) https://krebsonsecurity.com/2023/06...numbers-shipment-data-from-ups-tracking-tool/
В письме snail mail, отправленном в этом месяце канадским клиентам, UPS Canada Ltd. сообщила, что ей известно о том, что некоторые получатели посылок получали мошеннические текстовые сообщения с требованием оплаты до доставки посылки, и что она работает с партнерами в своей цепочке доставки, чтобы попытаться понять, как происходило мошенничество.
Недавнее письмо от UPS о SMS-фишерах, собирающих данные об отправке и номера телефонов с ее веб-сайта.
“В ходе этой проверки UPS обнаружила метод, с помощью которого человек, который искал определенную посылку или неправильно использовал инструмент поиска посылок, мог получить больше информации о доставке, потенциально включая номер телефона получателя”, - говорится в письме. “Поскольку эта информация могла быть использована третьими лицами не по назначению, в том числе потенциально в рамках мошеннической схемы, UPS предприняла шаги по ограничению доступа к этой информации”.
Далее в письменном уведомлении говорится, что UPS считает, что раскрытие данных “затронуло посылки для небольшой группы грузоотправителей и некоторых их клиентов в период с 1 февраля 2022 года по 24 апреля 2023 года”.
Уже в апреле 2022 года KrebsOnSecurity начала получать подсказки от канадских читателей, которые недоумевали, почему они только что получили одно из этих SMS-фишинговых сообщений, в котором упоминалась информация из недавнего заказа, который они законно разместили в интернет-магазине.
В марте 2023 года читатель по имени Дилан из Британской Колумбии написал, что получил одно из таких сообщений о мошенничестве с оплатой доставки вскоре после размещения заказа на покупку строительных блоков напрямую у Lego.com. В сообщении указывались его полное имя, номер телефона и почтовый индекс, а также содержался призыв перейти по ссылке на mydeliveryfee-ups[.]info и заплатить 1,55 доллара за доставку, которая предположительно требовалась для доставки его Legos.
“Просматривая текст этого фишингового сообщения, я вижу, что многие люди сталкивались с этим мошенничеством, которое является более убедительным из-за информации, содержащейся в фишинговом тексте”, - написал Дилан. “Мне кажется вероятным, что UPS каким-то образом сливает информацию о предстоящих поставках”.
Джош - читатель, работающий в компании, которая поставляет товары в Канаду, и в начале января 2023 года он поинтересовался, есть ли какая-либо информация о взломе в UPS Canada.
“Мы видели, как многие наши клиенты становились жертвами мошеннической схемы отправки текстовых сообщений UPS после размещения заказа”, - сказал Джош. “Предоставляется ссылка (часто только после того, как клиент ответит на текст), которая приводит вас на страницу с капчей, за которой следует страница сбора мошеннических платежей”.
Анализ домена в сообщении smishing, отправленном Дилану, показывает, что фишинговый домен имеет общий интернет-хост в России [91.215.85-166] с почти двумя десятками других доменов, связанных со smishing, включая upsdelivery[.]info, legodelivery[.]info, adidascanadaltd[.]com, crocscanadafee[.]info, refw0234apple[.]info, vista-printcanada[.]информация и telus-ca[.]информация.
Включение известных брендов в домены этих кампаний по разгрому UPS предполагает, что злоумышленники могли сосредоточить свои поиски на клиентах UPS, которые недавно заказали товары у определенных компаний.
Попытки посетить эти домены с помощью веб-браузера завершились неудачей, но загрузка их на мобильное устройство (или, в моем случае, эмуляция мобильного устройства с использованием виртуальной машины и инструментов разработчика в Firefox) выявила первую стадию этой вредоносной атаки. Как упоминал Джош, первой всплывающей информацией была КАПЧА; после того, как посетитель разгадывал КАПЧУ, он переходил еще на несколько страниц, на которых запрашивались полное имя пользователя, дата рождения, номер кредитной карты, адрес, электронная почта и номер телефона.
Потрясающий веб-сайт, предназначенный для канадцев, которые недавно совершили покупки в Adidas онлайн. Сайт загружался только в мобильном браузере.
В апреле 2022 года KrebsOnSecurity получил сообщение от Алекса, генерального директора технологической компании в Канаде, который попросил не упоминать его фамилию в этой истории. Алекс обратился к ним, когда начал получать смишные сообщения почти сразу после заказа двух комплектов Airpods непосредственно с веб-сайта Apple.
Больше всего Алекса озадачило то, что он дал указание Apple отправить Airpods в подарок двум разным людям, и менее чем через 24 часа на номер телефона, который он использует для своей учетной записи Apple, поступили два фишинговых сообщения, оба из которых содержали приветствия, включавшие имена людей, для которых он купил Airpods.
“Я бы указал получателей как разных людей из моей команды, но поскольку в обоих заказах был указан мой номер телефона, сообщения получал я”, - объяснил Алекс. “В тот же день я получил текстовые сообщения, в которых меня называли два разных человека, ни один из которых не был мной”.
Алекс сказал, что, по его мнению, UPS Canada либо еще не до конца понимает, что произошло, либо скрывает то, что знает. По его словам, формулировка ответа UPS вводит в заблуждение, предполагая, что хакерские атаки каким-то образом были результатом случайного поиска хакерами информации о посылках через веб-сайт компании для отслеживания.
Алекс сказал, что, скорее всего, ответственный за это человек выяснил, как запрашивать на веб-сайте UPS Canada только отложенные заказы от определенных брендов, возможно, используя какой-то тип интерфейса прикладного программирования (API), который UPS Canada производит или предоставил своим крупнейшим розничным партнерам.
“Не похоже, что я отправил заказ [на Apple.ca], а через несколько дней или недель я получил целенаправленную атаку smishing”, - сказал он. “Это было более или менее в тот же день. И это было так, как если бы [фишеры] были уведомлены о существовании заказа ”.
В письме клиентам UPS Canada не упоминается, пострадали ли какие-либо другие клиенты в Северной Америке, и остается неясным, могли ли какие-либо клиенты UPS за пределами Канады стать мишенью.
В заявлении, предоставленном KrebsOnSecurity, базирующейся в Сэнди-Спрингс, штат Джорджия, UPS [NYSE: UPS], говорится, что компания работает с партнерами по цепочке доставки, чтобы понять, как совершалось это мошенничество, а также с правоохранительными органами и сторонними экспертами, чтобы определить причину этой схемы и положить ей конец.
“Правоохранительные органы указали, что наблюдается рост мошенничества, затрагивающего ряд грузоотправителей и множество различных отраслей”, - говорится в электронном письме от Брайана Хьюза, директора по финансовым и стратегическим коммуникациям UPS.
“Из предосторожности UPS рассылает письма с уведомлениями об инцидентах конфиденциальности частным лицам в Канаде, на информацию которых, возможно, повлияла информация”, - сказал Хьюз. “Мы призываем наших клиентов и обычных потребителей узнать о способах защиты от подобных попыток, посетив веб-сайт UPS Fight Fraud”.
(c) https://krebsonsecurity.com/2023/06...numbers-shipment-data-from-ups-tracking-tool/
