Fortinet zveřejnil zprávu FortiGuard Labs Threat Intelligence Report: Threat Actors Targeting the 2024 U.S. Presidential Election, která odhaluje hrozby spojené s aktuálními prezidentskými volbami v USA. Zpráva zahrnuje hloubkovou analýzu aktivit pozorovaných od ledna do srpna tohoto roku. V souvislosti s volbami se do popředí zájmu dostávají phishingové podvody zaměřené na voliče, škodlivé domény vydávající se stránky kandidátů a další hrozby.
„S blížícími se americkými prezidentskými volbami je nezbytné si uvědomit a pochopit kybernetické hrozby, které mohou mít dopad na integritu a důvěryhodnost volebního procesu,“ říká Derek Manky, hlavní bezpečnostní stratég a viceprezident Global Threat Intelligence ve Fortinetu.
Hlavní zjištění analýzy:
• Phishingové podvody zacílené na voliče v prezidentských volbách USA: Kriminálnici prodávají na darknetu cenově dostupné phishingové sady k zacílení na voliče a dárce pomocí vydávání se za prezidentské kandidáty a kampaně.
• Registrace škodlivých domén na vzestupu: Od začátku roku 2024 bylo zaregistrováno více než 1000 nových potenciálně škodlivých domén, které sledují konkrétní vzorce a začleňují obsah související s volbami a kandidáty. To naznačuje, že aktéři hrozeb využívají zvýšený zájem o volby k nalákání nic netušících cílů a možnému provádění škodlivých aktivit.
• Prostředí darknetu: Na fórech darknetu jsou v prodeji miliardy dokumentů z USA, včetně čísel sociálního zabezpečení (SSN), osobních údajů (PII) a přihlašovacích údajů, které by mohly být použity v dezinformačních kampaních a vést k podvodným aktivitám, phishingovým podvodům a kradení účtů. Přibližně 3 % příspěvků na fórech darknetu se týká právě databází souvisejících s podniky a vládními subjekty.
• Ransomware: Výzkumníci z FortiGuard Labs zaznamenali meziroční nárůst ransomwarových útoků proti vládě USA o 28 % na základě pozorovaných úniků.
Podvody zaměřené na prezidentské volby v USA zaplavují darknet
Kybernetičtí protivníci, včetně státem sponzorovaných aktérů a hacktivistických skupin, jsou před volbami stále aktivnější.
Výzkumný tým laboratoří FortiGuard Labs pozoroval kybezločince, kteří prodávali různé phishingové sady za 1 260 dolarů, které se vydávají za prezidentské kandidáty. Sady jsou navrženy tak, aby shromažďovaly osobní informace, včetně jmen, adres a údajů o kreditních kartách a darech.
Od ledna 2024 také výzkumníci identifikovali více než tisíc nově registrovaných názvů domén, které zahrnují volební pojmy a odkazy na významné osobnosti politické sféry. Podvodné fundraisingové weby, včetně secure[.]actsblues[.]com, měly napodobit legitimní web pro ActBlue (secure[.]actblue[.]com), neziskovou americkou fundraisingovou platformu a politický akční výbor.
Dva nejvyužívanější poskytovatelé hostingu pro tyto webové stránky s volební tématikou jsou AMAZON-02 a CLOUDFLARENET. Závislost na hlavních hostingových platformách, jako jsou Amazon Web Services (AWS) a Cloudflare, naznačuje, že aktéři hrozeb tyto renomované služby využívají k posílení legitimity a odolnosti svých škodlivých domén.
Výrazná koncentrace domén je spojena s omezeným počtem IP adres, což naznačuje centralizovaný přístup aktérů hrozeb k efektivnímu spravování více škodlivých domén za účelem provádění rozsáhlých kybernetických kampaní.