تحاول مجموعة التصيد الاحتيالي المكتشفة حديثًا والتي تستهدف مستخدمي PayPal سرقة مجموعة كبيرة من المعلومات الشخصية من الضحايا والتي تتضمن وثائق تعريف حكومية وصورًا.
يتم استضافة المجموعة على مواقع WordPress الشرعية التي تم اختراقها، مما يسمح لها بالتهرب من الاكتشاف إلى حد معين.
وجد الباحثون في شركة Akamai لتكنولوجيا الإنترنت مجموعة التصيد الاحتيالي بعد أن زرعها ممثل التهديد في موقع WordPress الخاص بهم.
يستهدف ممثل التهديد مواقع الويب غير المؤمنة بشكل جيد ويفرض على تسجيل الدخول باستخدام قائمة من أزواج بيانات الاعتماد الشائعة الموجودة على الإنترنت. يستخدمون هذا الوصول لتثبيت مكون إضافي لإدارة الملفات يسمح بتحميل مجموعة التصيد إلى الموقع الذي تم اختراقه.
اكتشف Akamai أن إحدى الطرق التي تستخدمها مجموعة التصيد الاحتيالي لتجنب الاكتشاف هي الإحالة المرجعية لعناوين IP إلى مجالات تنتمي إلى مجموعة معينة من الشركات ، بما في ذلك بعض المؤسسات في صناعة الأمن السيبراني.
لاحظ الباحثون أن مؤلف مجموعة أدوات التصيد الاحتيالي بذل جهدًا لجعل الصفحة الاحتيالية تبدو احترافية وتقليد موقع PayPal الأصلي قدر الإمكان.
أحد الجوانب التي لاحظوها هو أن المؤلف يستخدم htaccess لإعادة كتابة عنوان URL بحيث لا ينتهي بامتداد ملف PHP. هذا يضيف إلى مظهر أنظف وأكثر تلميعًا يضفي الشرعية.
تبدأ سرقة البيانات الشخصية للضحية بتقديم تحدي CAPTCHA لهم، وهي خطوة تخلق إحساسًا زائفًا بالشرعية.
بعد هذه المرحلة ، يُطلب من الضحية تسجيل الدخول إلى حساب PayPal الخاص به باستخدام عنوان البريد الإلكتروني وكلمة المرور ، والتي يتم تسليمها تلقائيًا إلى ممثل التهديد.
