רפאל קאהן מאתר YNET פרסם כי חברת אבטחת הסייבר Imperva חשפה מתקפת דיוג של כנופיית האקרים רוסים העומדת מאחורי הודעות טקסט דיוג שנשלחו למשתמשים ברחבי העולם, ב- 40 שפות שונות. מטרת המתקפה הגלובלית הינה לגנוב מידע פיננסי כמו מספרי כרטיסי אשראי ופרטי חשבונות בנק, באמצעות התחזות לאתרים או ארגונים מוכרים המקבלים בתדירות גבוהה תשלומים מקוונים.
במתקפת דיוג זו שהחלה בחודש מאי 2022, נעשה שימוש בכ- 800 שמות דומיין, כאשר כמעט כולם זהים לאתרים לגיטימיים. בסך הכל זיהו החוקרים 340 חברות ומותגים שהאתרים שלהם זויפו, ביניהם פייסבוק, פדקס, DHL ו- Booking.com. נראה כי ההאקרים הצליחו לבנות מנגנון אשר מסוגל לגנוב את עיצוב האתרים לדפים המזויפים שלהם ובשפה הנדרשת. בישראל למשל, מבקשת רשות דואר ישראל לא פעם תשלום מכס מלקוחות המקבלים חבילות מחו"ל. ההאקרים שלחו לישראלים הודעות מזויפות הדורשות תשלומים מקוונים כאלו, תוך התחזות לרשות הדואר. השיטה שלהם פשוטה: הם מצרפים קישור לתשלום וכאשר הקורבן לוחץ עליו, הוא מועבר לדף שנראה זהה לאתר האמיתי, בו הוא מתבקש לספק מידע פיננסי אישי אשר בסופו של דבר נגנב על ידי ההאקרים. החוקרים אמרו שכאשר סיפקו מידע פיננסי, ניסו ההאקרים להעביר כספים מחשבונם תוך דקות.
מתקפת הדיוג התגלתה כאשר עובד חברת Imperva ניסה למכור כסא בטיחות משומש לתינוק באתר יד2. פנה אליו באמצעות וואטסאפ מישהו שטען שהוא מעוניין לקנות וסיפק קישור למה שנראה כאתר לגיטימי לביצוע התשלום. בהודעה נאמר לעובד Imperva שכל מה שהוא צריך לעשות כדי לקבל את כספו הוא ללחוץ על הכפתור הכתום במרכז העמוד. לחיצה זו שלחה אותו לעמוד אחר שבו הוא התבקש למלא את פרטי האשראי שלו. להפתעתו, בעמוד אף הייתה אפשרות צ'אט עם נציג שירות לקוחות, שהיה זמין כדי לסייע בהשלמת התהליך – אדם אמיתי שתפקידו לשכנע את הקורבנות לספק את המידע הפיננסי, בכל שפה מתאימה. לאחר מסירת המידע, קיבל עובד Imperva הודעת טקסט מחברת האשראי שלו, המבקשת ממנו לאשר את התשלום – נוהל רגיל למניעת שימוש בכרטיסים גנובים. לאחר מכן ניסו ההאקרים למשוך 4,500 Hryvnia אוקראינית (שווה ערך ל- 450 שקלים). אילו ניתן האישור על ידי עובד Imperva, היה הכסף מועבר להאקרים.
"זוהי מתקפת דיוג עולמית המכוונת לכ- 340 חברות על בסיס יומי. ההאקרים בנו תשתית תמיכה גנרית ב- 48 שפות המאפשרת להם להוסיף בקלות מטרות נוספות למתקפות שלהם", אמרה חוקרת Imperva – שלומית ירושלמי. והוסיפה: "חלק גדול מהאסטרטגיה שלהם הוא לחקות בהצלחה את חוויית המשתמש, כדי להימנע מגילוי. הם אפילו סיפקו שירות לקוחות ומצאנו הוכחות מפורטות לכך". ירושלמי טוענת כי היקף המבצע חריג ולדעתה ישנם אלפי אנשים שנפלו קורבן ומסרו את המידע הפיננסי שלהם להאקרים.