דוח חדש של צוות הזיהוי והתגובה JUMPSEC (DART) חשף מגמה מטרידה: פושעי סייבר מנצלים יותר ויותר פחדים הקשורים לבריאות כדי לבצע מתקפות דיוג מתוחכמות. הדו"ח מפרט אירוע שבו השתמשו פושעי סייבר בסדרה של הודעות דיוג בעלות נושא משותף: מוצרי בריאות. "מיילים אלו נועדו להערים על קורבנות המודאגים מבריאותם, ללחוץ על קישורים זדוניים", נכתב בדו"ח.
המיילים השתמשו במגוון פתיונות כדי לפתות קורבנות פוטנציאליים. חלק משורות הנושא כללו משפטים כמו: "מה קורה כשאתה שותה אורמוס זהב?"; "טריק סודני מוזר מוריד A1C וממיס שומן"; "להתגבר על כאב נוירופתיה על ידי שינה בתנוחה זו (מחקר מרפאת קליבלנד)" שורות הנושא הללו ממחישות את ניסיונות פושעי הסייבר לנצל חששות וחרדות בריאותיים נפוצים.
מתקפת דיוג זו לא הייתה ניסיון נקודתי פשוט, היא בוצעה בעקבות תהליך רב-שלבי שמטרתו להונות קורבנות ולגנוב מידע רגיש כמו פרטי בנק ואישורי גישה לחשבונות (שמות משתמשים וסיסמאות). התהליך כלל שליחת אימיילים הקשורים לבריאות ובהם קישורים זדוניים, הפניית קורבנות לדף "בדיקת אימות אנושי" שנועד להיראות לגיטימי, הפניית נוספת של הקורבנות לאתר קניות למטרות דיוג, הטעיית הקורבנות להזין פרטי תשלום בדף תשלום המתארח ב- ClickBank (שוק מקוון לגיטימי המשמש לעתים קרובות פושעי סייבר).
צוות DART של JUMPSEC גם חקר את התשתית שבה השתמשו פושעי הסייבר: "בניגוד לאמצעי אבטחה תגובתיים אשר מחכים להתראות, ציד איומי סייבר באיכות גבוהה הוא פרואקטיבי ומבקש לזהות איומים לפני שהם גורמים לנזק משמעותי", מדגיש הדו"ח. חקירתם העלתה כי סביר להניח שמספר דומיינים הופעלו על ידי קבוצת פושעי סייבר אחת. חוקרים הצליחו לחבר את הנקודות על ידי ניתוח מפתחות מארח משותפים, כתובות IP והתנהגויות רשת. הדוח מדגיש את השימוש בשירותי Cloudflare כדי להסוות ניסיונות דיוג: "השימוש ב- CLOUDFLARENET לאירוח אתרי דיוג מדגים כיצד משתמשים פושעי סייבר באופן נרחב בפלטפורמות לגיטימיות לביצוע המתקפות שלהם", נכתב בדו"ח. הדו"ח מסתיים בקריאה לארגונים לתעדף הדרכת מודעות לאיומי סייבר ולשפר את אמצעי אבטחת הדוא"ל כדי להילחם במתקפות הדיוג המתוחכמות הללו.
