حملة التصيد الاحتيالي غير المعتادة في Microsoft 365 تنتحل الفاكس الإلكتروني عبر الحساب الصوتي الديناميكي المخترق PlatoBlockchain Data Intelligence. البحث العمودي. منظمة العفو الدولية.

حملة Microsoft 365 للتصيد الاحتيالي غير عادية تنتحل الفاكس الإلكتروني عبر حساب Dynamics Voice المخترق

الطابع الزمني: 24 آب (أغسطس) 2022 ، الساعة 11:30 صباحًا

متقنة وغير عادية إلى حد ما حملة التصيد ينتحل إشعارات الفاكس الإلكتروني ويستخدم حساب الأعمال المخترق في Dynamics 365 Customer Voice لجذب الضحايا للتخلي عن بيانات اعتمادهم عبر صفحات microsoft.com.

لقد أصابت الجهات الفاعلة في مجال التهديد عشرات الشركات من خلال الحملة المنتشرة على نطاق واسع ، وهي تستهدف Microsoft 365 مستخدمين من مجموعة متنوعة من القطاعات - بما في ذلك الطاقة والخدمات المالية والعقارات التجارية والأغذية والتصنيع وحتى صناعة الأثاث ، كما كشف باحثون من مركز Cofense Phishing Defense (PDC) في منشور مدونة نُشر يوم الأربعاء.

تستخدم الحملة مزيجًا من التكتيكات الشائعة وغير العادية لجذب المستخدمين إلى النقر فوق صفحة يبدو أنها تقودهم إلى استطلاع آراء العملاء للحصول على خدمة الفاكس الإلكتروني ، ولكنها بدلاً من ذلك تسرق بيانات اعتمادهم.

ينتحل المهاجمون ليس فقط eFax ولكن أيضًا Microsoft باستخدام المحتوى المستضاف على صفحات microsoft.com المتعددة في عدة مراحل من الجهد متعدد المراحل. عملية الاحتيال هي واحدة من عدد من حملات التصيد التي لاحظتها Cofense منذ الربيع والتي تستخدم تكتيكًا مشابهًا ، كما يقول جوزيف جالوب ، مدير تحليل المعلومات الاستخباراتية في Cofense.

يقول دارك ريدينغ: "في أبريل من هذا العام ، بدأنا نرى عددًا كبيرًا من رسائل البريد الإلكتروني المخادعة باستخدام روابط مسح ncv [.] microsoft [.] com المضمنة من النوع المستخدم في هذه الحملة".

مزيج من التكتيكات

تستخدم رسائل البريد الإلكتروني المخادعة إغراءً تقليديًا ، حيث تدعي أن المستلم قد تلقى فاكسًا إلكترونيًا للشركة من 10 صفحات يتطلب اهتمامه أو اهتمامها. لكن ناثانيال ساجيباندا من شركة Cofense PDC أوضح أن الأمور تختلف عن المسار المطروق بعد ذلك الأربعاء بعد.

من المرجح أن يفتح المستلم الرسالة متوقعًا أنها مرتبطة بمستند يحتاج إلى توقيع. كتب "ومع ذلك ، هذا ليس ما نراه وأنت تقرأ نص الرسالة".

بدلاً من ذلك ، يتضمن البريد الإلكتروني ما يبدو أنه ملف PDF مرفق وغير مسمى تم تسليمه من فاكس يتضمن ملفًا فعليًا - وهي ميزة غير معتادة في رسالة بريد إلكتروني مخادعة ، وفقًا لـ Gallop.

كتب: "في حين أن الكثير من حملات التصيد الاحتيالي للاعتماد تستخدم روابط للملفات المستضافة ، والبعض يستخدم المرفقات ، فمن غير الشائع أن ترى ارتباطًا مضمنًا يمثل مرفقًا".

تتكاثف المؤامرة بشكل أكبر في الرسالة ، والتي تحتوي على تذييل يشير إلى أنه كان موقع مسح - مثل تلك المستخدمة لتقديم ملاحظات العملاء - الذي أنشأ الرسالة ، وفقًا للمنشور.

تقليد استبيان العملاء

قال الباحثون إنه عندما ينقر المستخدمون على الرابط ، يتم توجيههم إلى محاكاة مقنعة لصفحة حل الفاكس الإلكتروني المقدمة من صفحة Microsoft Dynamics 365 التي تم اختراقها من قبل المهاجمين.

تتضمن هذه الصفحة ارتباطًا بصفحة أخرى ، والتي يبدو أنها تؤدي إلى استطلاع Microsoft Customer Voice لتقديم ملاحظات حول خدمة eFax ، ولكنها بدلاً من ذلك تنقل الضحايا إلى صفحة تسجيل دخول Microsoft تقوم بسحب بيانات اعتمادهم.

لتعزيز الشرعية على هذه الصفحة ، ذهب الفاعل إلى حد تضمين فيديو لحلول eFax لتفاصيل الخدمة المخادعة ، وإرشاد المستخدم إلى الاتصال بـ "@ eFaxdynamic365" مع أي استفسارات ، كما قال الباحثون.

وأضافوا أن الزر "إرسال" في أسفل الصفحة يعمل أيضًا كتأكيد إضافي على أن ممثل التهديد استخدم قالب نموذج ملاحظات Microsoft Customer Voice حقيقي في عملية الاحتيال.

كتب Sagibanda أن المهاجمين قاموا بعد ذلك بتعديل النموذج باستخدام "معلومات وهمية للفاكس الإلكتروني لإغراء المستلم بالنقر فوق الرابط" ، مما يؤدي إلى صفحة تسجيل دخول زائفة إلى Microsoft ترسل بيانات اعتمادهم إلى عنوان URL خارجي يستضيفه المهاجمون.

خداع عين مدربة

في حين أن الحملات الأصلية كانت أبسط بكثير - بما في ذلك الحد الأدنى فقط من المعلومات المستضافة في استطلاع Microsoft - فإن حملة انتحال eFax تذهب إلى أبعد من ذلك لتعزيز شرعية الحملة ، كما يقول جالوب.

قد يسمح مزيجها من التكتيكات متعددة المراحل والانتحال المزدوج للرسائل بالمرور عبر بوابات البريد الإلكتروني الآمنة بالإضافة إلى خداع حتى أكثر مستخدمي الشركات ذكاءً الذين تم تدريبهم على اكتشاف عمليات التصيد الاحتيالي ، كما يلاحظ.

يقول جالوب: "فقط المستخدمون الذين يواصلون التحقق من شريط عنوان URL في كل مرحلة خلال العملية بأكملها سيكونون متأكدين من تحديد ذلك على أنه محاولة تصيد".

في الواقع، دراسة استقصائية أجرتها شركة Vade للأمن السيبراني صدر أيضا الأربعاء وجدت أن انتحال هوية العلامة التجارية لا تزال الأداة الأولى التي يستخدمها المخادعون لخداع الضحايا للنقر على رسائل البريد الإلكتروني الضارة.

وجد الباحثون في الواقع أن المهاجمين اتخذوا شخصية Microsoft غالبًا في الحملات التي لوحظت في النصف الأول من عام 2022 ، على الرغم من أن Facebook لا يزال العلامة التجارية الأكثر انتحالًا في حملات التصيد التي لوحظت حتى الآن هذا العام.

لعبة التصيد لا تزال قوية

يقول جالوب إن الباحثين في هذا الوقت لم يحددوا من قد يكون وراء عملية الاحتيال ، ولا دوافع المهاجمين المحددة لسرقة أوراق الاعتماد.

لا يزال التصيد الاحتيالي بشكل عام واحدًا من أسهل الطرق وأكثرها استخدامًا لممثلي التهديد لتسوية الضحايا ، ليس فقط لسرقة بيانات الاعتماد ولكن أيضًا لنشر البرامج الضارة ، نظرًا لأن توزيع البرامج الضارة المنقولة عبر البريد الإلكتروني أسهل بكثير من توزيع الهجمات عن بُعد ، وفقًا لتقرير Vade .

في الواقع ، شهد هذا النوع من الهجمات زيادات شهرية خلال الربع الثاني من العام ثم زيادة أخرى في يونيو أدت إلى عودة "رسائل البريد الإلكتروني إلى الأحجام المقلقة التي لم نشهدها منذ يناير 2022" ، عندما شهد Vade ما يزيد عن 100 مليون رسالة بريد إلكتروني للتصيد الاحتيالي قيد التوزيع.

كتبت ناتالي بيتيتو من شركة Vade في التقرير: "السهولة النسبية التي يمكن للقراصنة من خلالها تنفيذ هجمات إلكترونية معاقبة عبر البريد الإلكتروني تجعل البريد الإلكتروني أحد أهم عوامل الهجوم وتهديدًا دائمًا للشركات والمستخدمين النهائيين". "رسائل البريد الإلكتروني للتصيد الاحتيالي تنتحل صفة العلامات التجارية التي تثق بها أكثر من غيرها ، وتقدم شبكة واسعة من الضحايا المحتملين وعباءة من الشرعية للمخادعين الذين يتنكرون في شكل علامات تجارية."

الطابع الزمني:

اكثر من قراءة مظلمة