تم اكتشاف الآلاف من بيانات اعتماد Microsoft 365 مخزنة في نص عادي على خوادم التصيد الاحتيالي، كجزء من حملة غير عادية ومستهدفة لجمع بيانات الاعتماد ضد المتخصصين في العقارات. تُظهر الهجمات المخاطر المتزايدة والمتطورة التي تمثلها مجموعات اسم المستخدم وكلمة المرور التقليدية، كما يقول الباحثون، خاصة مع استمرار نمو التصيد الاحتيالي في التعقيد، والتهرب من أمان البريد الإلكتروني الأساسي.
اكتشف باحثون من Ironscales الهجوم، الذي تظاهر فيه المهاجمون السيبرانيون بأنهم موظفون في اثنين من بائعي الخدمات المالية المعروفين في مجال العقارات: First American Financial Corp.، وUnited Wholesale Mortgage. قال المحللون إن المحتالين الإلكترونيين يستخدمون الحسابات لإرسال رسائل بريد إلكتروني تصيدية إلى أصحاب العقارات ومحامي العقارات ووكلاء الملكية والمشترين والبائعين، في محاولة لتوجيههم إلى صفحات تسجيل دخول Microsoft 365 المزيفة للحصول على بيانات الاعتماد.
تستهدف رسائل البريد الإلكتروني التنبيهية أن المستندات المرفقة تحتاج إلى مراجعة أو أن لديها رسائل جديدة مستضافة على خادم آمن، وفقًا لما ذكره أ 15 سبتمبر النشر في الحملة من Ironscales. في كلتا الحالتين، تقوم الارتباطات المضمنة بتوجيه المستلمين إلى صفحات تسجيل الدخول الزائفة وتطلب منهم تسجيل الدخول إلى Microsoft 365.
بمجرد وصولهم إلى الصفحة الخبيثة، لاحظ الباحثون تطورًا غير عادي في الإجراءات: حاول المهاجمون تحقيق أقصى استفادة من وقتهم مع الضحايا من خلال محاولة استخراج كلمات مرور متعددة من كل جلسة تصيد.
"كل محاولة لإرسال بيانات الاعتماد الـ 365 هذه أدت إلى ظهور خطأ ودفعت المستخدم إلى المحاولة مرة أخرى،" وفقًا لما كتبه الباحثون. "عادةً ما يقوم المستخدمون بإرسال نفس بيانات الاعتماد مرة أخرى على الأقل قبل تجربة أشكال مختلفة من كلمات المرور الأخرى التي ربما استخدموها في الماضي، مما يوفر منجم ذهب من بيانات الاعتماد للمجرمين لبيعها أو استخدامها في هجمات القوة الغاشمة أو حشو بيانات الاعتماد. الوصول إلى الحسابات المالية أو حسابات وسائل التواصل الاجتماعي الشهيرة.
إن العناية باستهداف الضحايا من خلال خطة مدروسة هي أحد أبرز جوانب الحملة، كما يقول إيال بينيشتي، المؤسس والرئيس التنفيذي لشركة Ironscales، لـ Dark Reading.
"هذا يتبع الناس الذين يعملون في العقارات (وكلاء العقارات، ووكلاء الملكية، ومحامو العقارات)، باستخدام قالب التصيد الاحتيالي عبر البريد الإلكتروني الذي ينتحل علامة تجارية مألوفة جدًا ودعوة مألوفة تحث المستخدم على اتخاذ إجراء ("راجع هذه المستندات الآمنة" أو "اقرأ هذه الرسالة الآمنة")،" كما يقول.
ومن غير الواضح إلى أي مدى يمكن أن تمتد الحملة، لكن التحقيق الذي أجرته الشركة أظهر أن الآلاف على الأقل قد تعرضوا للتصيد الاحتيالي حتى الآن.
يقول بينيشتي: "العدد الإجمالي للأشخاص الذين تعرضوا للتصيد الاحتيالي غير معروف، لقد قمنا بالتحقيق فقط في عدد قليل من الحالات التي تقاطعت مع عملائنا". "ولكن من خلال العينات الصغيرة التي قمنا بتحليلها، تم العثور على أكثر من 2,000 مجموعة فريدة من بيانات الاعتماد في أكثر من 10,000 محاولة إرسال (قدم العديد من المستخدمين نفس بيانات الاعتماد أو بيانات الاعتماد البديلة عدة مرات)."
المخاطر التي يتعرض لها الضحايا كبيرة: غالبًا ما يتم استهداف المعاملات المتعلقة بالعقارات بعمليات احتيال معقدة، وخاصة المعاملات إشراك شركات الملكية العقارية.
وقال بينيشتي: "استنادًا إلى الاتجاهات والإحصائيات، من المحتمل أن يرغب هؤلاء المهاجمون في استخدام بيانات الاعتماد لتمكينهم من اعتراض/توجيه/إعادة توجيه التحويلات البنكية المرتبطة بالمعاملات العقارية".
الارتباطات الآمنة لـ Microsoft تسقط في المهمة
ومن الملحوظ أيضًا (والمؤسف) في هذه الحملة بالذات، فشل السيطرة الأمنية الأساسية على ما يبدو.
في الجولة الأولى من التصيد الاحتيالي، لاحظ الباحثون أن عنوان URL الذي طُلب من الأهداف النقر فوقه لم يحاول إخفاء نفسه - عند تمرير الماوس فوق الرابط، تم عرض عنوان URL الذي يلوح بعلم أحمر: "https://phishingsite.com" /folde…[dot]shtm."
ومع ذلك، قامت الموجات اللاحقة بإخفاء العنوان خلف عنوان URL للروابط الآمنة - وهي ميزة موجودة في Microsoft Defender والتي من المفترض أن تقوم بفحص عناوين URL لالتقاط الروابط الضارة. يقوم الرابط الآمن بالكتابة فوق الرابط بعنوان URL مختلف باستخدام تسميات خاصة، بمجرد فحص هذا الرابط واعتباره آمنًا.
في هذه الحالة، زادت الأداة من صعوبة الفحص البصري الفعلي لوجهك "هذا تصيد!" الارتباط، كما سمح للرسائل بتجاوز عوامل تصفية البريد الإلكتروني بسهولة أكبر. ولم تستجب مايكروسوفت لطلب التعليق.
يقول بينيشتي: "تحتوي الروابط الآمنة على العديد من نقاط الضعف المعروفة، وتوليد شعور زائف بالأمان هو نقطة الضعف الكبيرة في هذه الحالة". "لم تكتشف Safe Links أي مخاطر أو خداع مرتبط بالرابط الأصلي، ولكنها أعادت كتابة الرابط كما لو كان موجودًا. يكتسب المستخدمون والعديد من المتخصصين في مجال الأمن إحساسًا زائفًا بالأمان بسبب وجود سيطرة أمنية، لكن هذه السيطرة غير فعالة إلى حد كبير.
ملاحظة أيضًا: في رسائل البريد الإلكتروني الخاصة بـ United Wholesale Mortgage، تم وضع علامة على الرسالة أيضًا على أنها "إشعار بريد إلكتروني آمن"، وتضمنت إخلاء المسؤولية عن السرية، وكانت تحمل شعارًا مزيفًا "Secured by Proofpoint Encryption".
قال رايان كالمبر، نائب الرئيس التنفيذي لاستراتيجية الأمن السيبراني في Proofpoint، إن شركته ليست غريبة على تعرض علامتها التجارية للاختطاف، مضيفًا أن الاستخدام المزيف لاسمها هو في الواقع أسلوب معروف للهجوم السيبراني تقوم منتجات الشركة بالبحث عنه.
إنه تذكير جيد بأن المستخدمين لا يمكنهم الاعتماد على العلامة التجارية لتحديد مدى صحة الرسالة، كما يشير: "غالبًا ما يتظاهر ممثلو التهديد بأنهم علامات تجارية معروفة لإغراء أهدافهم بالكشف عن المعلومات". "كما أنهم غالبًا ما ينتحلون صفة موردي خدمات أمنية معروفين لإضفاء الشرعية على رسائل البريد الإلكتروني التصيدية الخاصة بهم."
حتى الأشرار يرتكبون الأخطاء
وفي الوقت نفسه، قد لا يكون مخادعو OG وحدهم هم الذين يستفيدون من بيانات الاعتماد المسروقة.
أثناء تحليل الحملة، التقط الباحثون عنوان URL في رسائل البريد الإلكتروني لم يكن من المفترض أن يكون هناك: مسار يشير إلى دليل ملفات الكمبيوتر. يوجد داخل هذا الدليل المكاسب غير المشروعة لمجرمي الإنترنت، أي كل مجموعة بريد إلكتروني وكلمة مرور يتم إرسالها إلى موقع التصيد الاحتيالي المحدد، ويتم الاحتفاظ بها في ملف نصي واضح يمكن لأي شخص الوصول إليه.
يقول بنيشتي: "لقد كان هذا مجرد حادث". "نتيجة العمل غير المتقن، أو الجهل على الأرجح إذا كانوا يستخدمون مجموعة أدوات التصيد التي طورها شخص آخر - هناك الكثير منها متاحة للشراء في السوق السوداء."
تم إغلاق أو إزالة خوادم صفحات الويب المزيفة (وملفات النص الواضح) بسرعة، ولكن كما أشار بينيشتي، من المحتمل أن تكون مجموعة التصيد التي يستخدمها المهاجمون هي المسؤولة عن خلل النص الواضح - مما يعني أنهم "سيستمرون في إتاحة بيانات اعتمادهم المسروقة". إلى العالم."
أوراق الاعتماد المسروقة والمزيد من التعقيد يغذي جنون التصيد
ويشير الباحثون إلى أن الحملة تضع في الاعتبار على نطاق أوسع وباء التصيد الاحتيالي وجمع بيانات الاعتماد وما يعنيه ذلك بالنسبة للمضي قدمًا في عملية المصادقة.
يقول دارين جوتشيوني، الرئيس التنفيذي والمؤسس المشارك لشركة Keeper Security، إن التصيد الاحتيالي مستمر في التطور من حيث مستوى التعقيد، والذي ينبغي أن يكون بمثابة تحذير واضح للشركات، نظرا لارتفاع مستوى المخاطرة.
"تقوم الجهات الفاعلة السيئة على جميع المستويات بتصميم عمليات التصيد الاحتيالي باستخدام أساليب جمالية مثل قوالب البريد الإلكتروني ذات المظهر الواقعي والمواقع الضارة لجذب ضحاياهم، ثم الاستيلاء على حساباتهم عن طريق تغيير بيانات الاعتماد، مما يمنع المالك الصالح من الوصول إليها." يقول القراءة المظلمة. "في هجوم انتحال هوية البائع [مثل هذا الهجوم]، عندما يستخدم مجرمو الإنترنت بيانات اعتماد مسروقة لإرسال رسائل بريد إلكتروني تصيدية من عنوان بريد إلكتروني شرعي، يكون هذا التكتيك الخطير أكثر إقناعًا لأن البريد الإلكتروني ينشأ من مصدر مألوف."
يمكن لمعظم عمليات التصيد الاحتيالي الحديثة أيضًا تجاوز بوابات البريد الإلكتروني الآمنة وحتى المحاكاة الساخرة أو التخريب بائعي المصادقة الثنائية (2FA).تضيف مونيا دينج، مديرة تسويق المنتجات في Bolster، أن الهندسة الاجتماعية بشكل عام فعالة بشكل غير عادي في وقت السحابة والتنقل والعمل عن بعد.
وتقول: "عندما يتوقع الجميع أن تكون تجربتهم عبر الإنترنت سريعة وسهلة، يصبح الخطأ البشري أمرًا لا مفر منه، وتزداد حملات التصيد الاحتيالي هذه ذكاءً". وتضيف أن ثلاثة اتجاهات كلية مسؤولة عن الأعداد القياسية للهجمات المرتبطة بالتصيد الاحتيالي: "الانتقال الذي يغذيه الوباء إلى المنصات الرقمية لاستمرارية الأعمال، والجيش المتنامي من أطفال البرامج النصية الذين يمكنهم بسهولة شراء مجموعات التصيد الاحتيالي أو حتى شراء التصيد الاحتيالي كأداة". خدمة الاشتراك، والترابط بين منصات التكنولوجيا التي يمكن أن تؤدي إلى هجوم على سلسلة التوريد من خلال بريد إلكتروني تصيدي.
وبالتالي، فالحقيقة هي أن شبكة الويب المظلمة تستضيف مخابئًا كبيرة لأسماء المستخدمين وكلمات المرور المسروقة؛ إن عمليات تفريغ البيانات الضخمة ليست غير شائعة، ولا تؤدي بدورها إلى تحفيز هجمات حشو بيانات الاعتماد والقوة الغاشمة فحسب، بل تحفز أيضًا جهود التصيد الاحتيالي الإضافية.
على سبيل المثال، من الممكن أن تكون الجهات الفاعلة في مجال التهديد قد استخدمت معلومات من الاختراق الأخير لشركة First American Financial لاختراق حساب البريد الإلكتروني الذي استخدموه لإرسال رسائل التصيد الاحتيالي؛ كشفت تلك الحادثة عن 800 مليون وثيقة تحتوي على معلومات شخصية.
يقول بينيشتي: "إن اختراقات البيانات أو تسريباتها لها نصف عمر أطول مما يعتقده الناس". "حدث الاختراق المالي الأمريكي الأول في مايو 2019، لكن البيانات الشخصية المكشوفة يمكن استخدامها كسلاح بعد سنوات."
ويضيف أنه لإحباط هذه السوق المزدحمة والمنتفعين الذين يعملون فيها، فقد حان الوقت للنظر إلى ما هو أبعد من كلمة المرور.
يقول بينيشتي: "تتطلب كلمات المرور تعقيدًا متزايدًا وتكرارًا للتناوب، مما يؤدي إلى الإرهاق الأمني". "يقبل العديد من المستخدمين خطر الشعور بعدم الأمان بشأن الجهود المبذولة لإنشاء كلمات مرور معقدة لأن القيام بالشيء الصحيح أصبح معقدًا للغاية. تساعد المصادقة متعددة العوامل، ولكنها ليست حلاً مضادًا للرصاص. هناك حاجة إلى تغيير جذري للتحقق من هويتك كما تقول في العالم الرقمي والوصول إلى الموارد التي تحتاجها.
كيفية مكافحة تسونامي التصيد
نظرًا لأن الأساليب واسعة النطاق التي لا تحتوي على كلمات مرور لا تزال بعيدة المنال، يقول كالمبر من Proofpoint أن المبادئ الأساسية لتوعية المستخدم هي المكان المناسب للبدء عند مكافحة التصيد الاحتيالي.
ويقول: "يجب على الأشخاص التعامل مع جميع الاتصالات غير المرغوب فيها بحذر، خاصة تلك التي تطلب من المستخدم التصرف، مثل تنزيل أو فتح مرفق، أو النقر على رابط، أو الكشف عن بيانات الاعتماد مثل المعلومات الشخصية أو المالية".
ومن المهم أيضًا أن يتعلم الجميع ويمارسوا النظافة الجيدة لكلمات المرور عبر كل خدمة يستخدمونها، يضيف بينيشتي: "وإذا تم إخطارك بأن معلوماتك ربما تكون متورطة في الاختراق، فانتقل إلى إعادة تعيين جميع كلمات المرور الخاصة بك لكل خدمة تستخدمها . إذا لم يكن الأمر كذلك، فإن المهاجمين المتحمسين لديهم طرق ذكية لربط جميع أنواع البيانات والحسابات للحصول على ما يريدون.
بالإضافة إلى ذلك، توصي شركة Ironscales بإجراء اختبار منتظم لمحاكاة التصيد الاحتيالي لجميع الموظفين، وتضع مجموعة من القواعد الأساسية للبحث عن العلامات الحمراء:
- كان بإمكان المستخدمين التعرف على هجوم التصيد الاحتيالي هذا من خلال النظر عن كثب إلى المرسل
- تأكد من أن عنوان الإرسال يطابق عنوان المرسل وأن العنوان من نطاق (URL) يتطابق عادةً مع الأعمال التي يتعاملون معها.
- ابحث عن الأخطاء الإملائية والنحوية السيئة.
- قم بالماوس فوق الروابط وانظر إلى عنوان URL/العنوان الكامل للوجهة، لترى ما إذا كان يبدو غير عادي.
- كن حذرًا جدًا دائمًا بشأن المواقع التي تطلب منك بيانات اعتماد غير مرتبطة بها، مثل تسجيل الدخول إلى Microsoft 365 أو Google Workspace.
