Tusindvis af Microsoft 365-legitimationsoplysninger er blevet opdaget, gemt i almindelig tekst på phishing-servere, som en del af en usædvanlig, målrettet legitimationsindsamlingskampagne mod ejendomsmæglere. Angrebene viser den voksende, udviklende risiko, som traditionelle brugernavn-adgangskode-kombinationer er til stede, siger forskere, især da phishing fortsætter med at vokse i sofistikering og undgår grundlæggende e-mail-sikkerhed.
Forskere fra Ironscales opdagede offensiven, hvor cyberangribere udgav sig som ansatte hos to velkendte leverandører af finansielle tjenesteydelser i ejendomsområdet: First American Financial Corp. og United Wholesale Mortgage. Cyberskurkene bruger konti til at udsende phishing-e-mails til ejendomsmæglere, ejendomsadvokater, ejendomsmæglere og købere og sælgere, sagde analytikere, i et forsøg på at styre dem til falske Microsoft 365-loginsider for at indhente legitimationsoplysninger.
E-mail-advarslen er målrettet mod, at vedhæftede dokumenter skulle gennemgås, eller at de har nye beskeder hostet på en sikker server, ifølge en 15. september opslag på kampagnen fra Ironscales. I begge tilfælde dirigerer indlejrede links modtagere til de falske login-sider, der beder dem om at logge på Microsoft 365.
En gang på den ondsindede side observerede forskere en usædvanlig drejning i sagen: Angriberne forsøgte at få mest muligt ud af deres tid med ofrene ved at forsøge at drille flere adgangskoder fra hver phishing-session.
"Hvert forsøg på at indsende disse 365-legitimationsoplysninger returnerede en fejl og fik brugeren til at prøve igen," ifølge forskernes opgørelse. "Brugere vil normalt indsende de samme legitimationsoplysninger mindst én gang mere, før de prøver varianter af andre adgangskoder, de måske har brugt tidligere, hvilket giver en guldmine af legitimationsoplysninger for kriminelle at sælge eller bruge i brute-force eller credential-stuffing-angreb til få adgang til populære finansielle konti eller konti på sociale medier."
Den omhu, der tages i målretningen af ofre med en velgennemtænkt plan, er et af de mest bemærkelsesværdige aspekter af kampagnen, siger Eyal Benishti, grundlægger og administrerende direktør hos Ironscales, til Dark Reading.
"Det her går efter mennesker, der arbejder i fast ejendom (ejendomsmæglere, ejendomsmæglere, ejendomsadvokater), ved hjælp af en e-mail-phishing-skabelon, der forfalsker et meget velkendt brand og velkendt opfordring til handling ('gennemgå disse sikre dokumenter' eller 'læs denne sikre besked')", siger han.
Det er uklart, hvor langt kampagnen kan sprede sig, men virksomhedens undersøgelse viste, at mindst tusindvis er blevet phishet indtil videre.
"Det samlede antal personer, der phishede, er ukendt, vi har kun undersøgt nogle få tilfælde, der krydsede vores kunder," siger Benishti. "Men blot ud fra den lille stikprøve, vi analyserede, blev der fundet mere end 2,000 unikke sæt legitimationsoplysninger i mere end 10,000 indsendelsesforsøg (mange brugere har givet de samme eller alternative legitimationsoplysninger flere gange)."
Risikoen for ofrene er høj: Ejendomsrelaterede transaktioner er ofte målrettet mod sofistikeret svindel, især transaktioner involverer ejendomsmæglerselskaber.
"Baseret på tendenser og statistikker vil disse angribere sandsynligvis bruge legitimationsoplysningerne til at sætte dem i stand til at opsnappe/dirigere/omdirigere bankoverførsler forbundet med ejendomstransaktioner," ifølge Benishti.
Microsoft Safe Links falder ned på jobbet
Også bemærkelsesværdig (og uheldig) i denne særlige kampagne fejlede en grundlæggende sikkerhedskontrol tilsyneladende.
I den indledende runde af phishing forsøgte webadressen, som målene blev bedt om at klikke på, ikke at skjule sig selv, bemærkede forskere - når man bevægede musen hen over linket, blev der vist en rødt flag-webadresse: "https://phishingsite.com /folde...[dot]shtm."
Imidlertid skjulte efterfølgende bølger adressen bag en Safe Links URL - en funktion fundet i Microsoft Defender, der formodes at scanne URL'er for at opfange ondsindede links. Safe Link overskriver linket med en anden URL ved hjælp af speciel nomenklatur, når det link er scannet og anses for sikkert.
I dette tilfælde gjorde værktøjet det kun sværere at visuelt inspicere den faktiske in-your-face "dette er en phish!" link, og gav også beskederne mulighed for lettere at komme forbi e-mail-filtre. Microsoft reagerede ikke på en anmodning om kommentar.
"Safe Links har en række kendte svagheder, og at skabe en falsk følelse af sikkerhed er den væsentlige svaghed i denne situation," siger Benishti. “Safe Links opdagede ikke nogen risici eller bedrag forbundet med det originale link, men omskrev linket, som om det havde det. Brugere og mange sikkerhedsprofessionelle får en falsk følelse af sikkerhed, fordi en sikkerhedskontrol er på plads, men denne kontrol er stort set ineffektiv."
Bemærk også: I United Wholesale Mortgage-e-mails blev beskeden også markeret som en "Secure Email Notification", inkluderet en fortrolighedsfraskrivelse og havde et falsk "Secured by Proofpoint Encryption"-banner.
Ryan Kalember, executive vice president for cybersikkerhedsstrategi hos Proofpoint, sagde, at hans virksomhed ikke er fremmed for at blive brandkapret, og tilføjede, at falsk brug af dets navn faktisk er en kendt cyberangrebsteknik, som virksomhedens produkter søger efter.
Det er en god påmindelse om, at brugere ikke kan stole på branding for at bestemme rigtigheden af et budskab, bemærker han: "Trusselsaktører foregiver ofte at være velkendte brands for at lokke deres mål til at videregive information," siger han. "De efterligner også ofte kendte sikkerhedsleverandører for at tilføje legitimitet til deres phishing-e-mails."
Selv slemme fyre laver fejl
I mellemtiden er det måske ikke kun OG-phisherne, der nyder godt af de stjålne legitimationsoplysninger.
Under analysen af kampagnen fangede forskere en URL i e-mails, som ikke burde have været der: en sti, der peger til en computerfilmappe. Inde i den mappe var cyberkriminelles dårligt opnåede gevinster, dvs. hver enkelt e-mail- og adgangskodekombination, der blev sendt til den pågældende phishing-side, gemt i en klartekstfil, som enhver kunne have adgang til.
"Dette var fuldstændig en ulykke," siger Benishti. "Resultatet af sjusket arbejde, eller mere sandsynligt uvidenhed, hvis de bruger et phishing-kit udviklet af en anden - der er tonsvis af dem tilgængelige til køb på det sorte marked."
De falske websideservere (og klartekstfiler) blev hurtigt lukket ned eller fjernet, men som Benishti bemærkede, er det sandsynligt, at phishing-sættet, som angriberne bruger, er ansvarligt for klartekstfejlen - hvilket betyder, at de "fortsat vil gøre deres stjålne legitimationsoplysninger tilgængelige til verden."
Stjålne legitimationsoplysninger, mere sofistikeret brændstof til phish-frenzy
Kampagnen sætter mere bredt i perspektiv epidemien med phishing og indsamling af legitimationsoplysninger - og hvad det betyder for autentificering fremover, bemærker forskere.
Darren Guccione, administrerende direktør og medstifter hos Keeper Security, siger, at phishing fortsætter med at udvikle sig med hensyn til dets sofistikerede niveau, som bør fungere som en clarion advarsel til virksomhederi betragtning af det høje risikoniveau.
"Dårlige aktører på alle niveauer skræddersyer phishing-svindel ved hjælp af æstetisk-baserede taktikker såsom realistisk udseende e-mail-skabeloner og ondsindede websteder for at lokke deres ofre ind, og overtager derefter deres konto ved at ændre legitimationsoplysningerne, hvilket forhindrer adgang for den gyldige ejer." fortæller han til Dark Reading. "I et leverandørefterligningsangreb [som dette], når cyberkriminelle bruger stjålne legitimationsoplysninger til at sende phishing-e-mails fra en legitim e-mailadresse, er denne farlige taktik endnu mere overbevisende, fordi e-mailen stammer fra en velkendt kilde."
De fleste moderne phishes kan også omgå sikre e-mail-gateways og endda spoof eller subvert leverandører af to-faktor autentificering (2FA)., tilføjer Monnia Deng, direktør for produktmarketing hos Bolster, mens social engineering generelt er ekstraordinært effektiv i en tid med cloud, mobilitet og fjernarbejde.
"Når alle forventer, at deres onlineoplevelse er hurtig og nem, er menneskelige fejl uundgåelige, og disse phishing-kampagner bliver mere kloge," siger hun. Hun tilføjer, at tre makrotrends er ansvarlige for det rekordstore antal phishing-relaterede angreb: "Den pandemi-drevne flytning til digitale platforme for forretningskontinuitet, den voksende hær af script-kiddies, der nemt kan købe phishing-sæt eller endda købe phishing som en abonnementsservice og den indbyrdes afhængighed af teknologiplatforme, der kunne skabe et forsyningskædeangreb fra en phishing-e-mail."
Virkeligheden er således, at Dark Web hoster store caches af stjålne brugernavne og adgangskoder; big data-dumps er ikke ualmindeligt og ansporer til gengæld ikke kun credential-stuffing og brute-force-angreb, men også yderligere phishing-indsats.
For eksempel er det muligt, at trusselsaktører brugte oplysninger fra et nyligt brud på First American Financial til at kompromittere den e-mail-konto, de brugte til at sende phishes ud; hændelsen afslørede 800 millioner dokumenter, der indeholdt personlige oplysninger.
"Databrud eller lækager har en længere halveringstid, end folk tror," siger Benishti. "Det første amerikanske økonomiske brud skete i maj 2019, men de afslørede personlige data kan bruges med våben flere år efter."
For at forpurre dette travle marked og de profitører, der opererer inden for det, er det tid til at se ud over adgangskoden, tilføjer han.
"Adgangskoder kræver stadigt stigende kompleksitet og rotationsfrekvens, hvilket fører til sikkerhedsudbrændthed," siger Benishti. "Mange brugere accepterer risikoen for at være usikre over bestræbelserne på at skabe komplekse adgangskoder, fordi det at gøre det rigtige er gjort så komplekst. Multifaktorautentificering hjælper, men det er ikke en skudsikker løsning. Grundlæggende ændringer er nødvendige for at bekræfte, at du er den, du siger, du er i en digital verden og få adgang til de ressourcer, du har brug for."
Sådan bekæmpes phishing-tsunamien
Med udbredte tilgange uden adgangskode, der stadig er langt væk, siger Proofpoints Kalember, at de grundlæggende brugerbevidsthedsprincipper er stedet at starte, når man bekæmper phishing.
"Folk bør nærme sig al uopfordret kommunikation med forsigtighed, især dem, der anmoder brugeren om at handle, såsom at downloade eller åbne en vedhæftet fil, klikke på et link eller afsløre legitimationsoplysninger såsom personlige eller økonomiske oplysninger," siger han.
Det er også afgørende, at alle lærer og praktiserer god adgangskodehygiejne på tværs af alle tjenester, de bruger, tilføjer Benishti: "Og hvis du nogensinde får besked om, at dine oplysninger kan have været involveret i et brud, skal du nulstille alle dine adgangskoder for hver tjeneste, du bruger. . Hvis ikke, har motiverede angribere smarte måder at korrelere alle slags data og konti for at få, hvad de vil have."
Derudover anbefaler Ironscales regelmæssig phishing-simuleringstest for alle medarbejdere og kaldte en tommelfingerregelsæt af røde flag at kigge efter:
- Brugere kunne have identificeret dette phishing-angreb ved at se nøje på afsenderen
- Sørg for, at afsenderadressen matcher returadressen, og at adressen er fra et domæne (URL), der normalt matcher den virksomhed, de handler med.
- Se efter dårlig stavning og grammatik.
- Hold musen over links og se på destinationens fulde URL/adresse, se om det ser usædvanligt ud.
- Vær altid meget forsigtig med websteder, der beder dig om legitimationsoplysninger, der ikke er knyttet til dem, såsom Microsoft 365 eller Google Workspace-login.
