Το Real Estate Phish καταπίνει 1,000 διαπιστευτήρια του Microsoft 365

Χιλιάδες διαπιστευτήρια του Microsoft 365 ανακαλύφθηκαν αποθηκευμένα σε απλό κείμενο σε διακομιστές phishing, ως μέρος μιας ασυνήθιστης, στοχευμένης εκστρατείας συλλογής διαπιστευτηρίων εναντίον επαγγελματιών στον τομέα των ακινήτων. Οι επιθέσεις δείχνουν τον αυξανόμενο, εξελισσόμενο κίνδυνο που παρουσιάζουν οι παραδοσιακοί συνδυασμοί ονόματος χρήστη-κωδικού πρόσβασης, λένε οι ερευνητές, ειδικά καθώς το ηλεκτρονικό "ψάρεμα" συνεχίζει να εξελίσσεται σε πολυπλοκότητα, αποφεύγοντας τη βασική ασφάλεια ηλεκτρονικού ταχυδρομείου. 

Ερευνητές από την Ironscales ανακάλυψαν την επίθεση, στην οποία οι κυβερνοεπιτιθέμενοι παρουσιάζονταν ως υπάλληλοι σε δύο γνωστούς προμηθευτές χρηματοοικονομικών υπηρεσιών στον χώρο των ακινήτων: την First American Financial Corp. και την United Wholesale Mortgage. Οι απατεώνες του κυβερνοχώρου χρησιμοποιούν τους λογαριασμούς για να στέλνουν μηνύματα ηλεκτρονικού ψαρέματος σε μεσίτες, δικηγόρους ακινήτων, πράκτορες τίτλων και αγοραστές και πωλητές, είπαν οι αναλυτές, σε μια προσπάθεια να τους κατευθύνουν σε παραποιημένες σελίδες σύνδεσης του Microsoft 365 για τη λήψη διαπιστευτηρίων.

Τα μηνύματα ηλεκτρονικού ταχυδρομείου προειδοποιούν ότι τα συνημμένα έγγραφα έπρεπε να ελεγχθούν ή ότι έχουν νέα μηνύματα που φιλοξενούνται σε έναν ασφαλή διακομιστή, σύμφωνα με Ανάρτηση 15 Σεπτεμβρίου στην εκστρατεία από την Ironscales. Και στις δύο περιπτώσεις, οι ενσωματωμένοι σύνδεσμοι κατευθύνουν τους παραλήπτες στις ψεύτικες σελίδες σύνδεσης ζητώντας τους να συνδεθούν στο Microsoft 365.

Μόλις μπήκαν στην κακόβουλη σελίδα, οι ερευνητές παρατήρησαν μια ασυνήθιστη ανατροπή στη διαδικασία: Οι εισβολείς προσπάθησαν να εκμεταλλευτούν στο έπακρο τον χρόνο τους με τα θύματα προσπαθώντας να ξεγελάσουν πολλούς κωδικούς πρόσβασης από κάθε περίοδο ηλεκτρονικού ψαρέματος.

«Κάθε προσπάθεια υποβολής αυτών των 365 διαπιστευτηρίων επέστρεφε ένα σφάλμα και προέτρεπε τον χρήστη να προσπαθήσει ξανά», σύμφωνα με την καταγραφή των ερευνητών. «Οι χρήστες συνήθως υποβάλλουν τα ίδια διαπιστευτήρια τουλάχιστον μία ακόμη φορά προτού δοκιμάσουν παραλλαγές άλλων κωδικών πρόσβασης που μπορεί να είχαν χρησιμοποιήσει στο παρελθόν, παρέχοντας ένα χρυσωρυχείο διαπιστευτηρίων στους εγκληματίες για να πουλήσουν ή να χρησιμοποιήσουν σε επιθέσεις ωμής βίας ή πλήρωσης διαπιστευτηρίων πρόσβαση δημοφιλών λογαριασμών οικονομικών ή μέσων κοινωνικής δικτύωσης."

Η προσοχή που δίνεται στη στόχευση των θυμάτων με ένα καλά μελετημένο σχέδιο είναι μια από τις πιο αξιοσημείωτες πτυχές της εκστρατείας, λέει στο Dark Reading ο Eyal Benishti, ιδρυτής και διευθύνων σύμβουλος της Ironscales.

«Αυτό συνεχίζεται άτομα που εργάζονται σε ακίνητα (μεσίτες ακινήτων, μεσίτες τίτλων, δικηγόροι ακινήτων), χρησιμοποιώντας ένα πρότυπο ηλεκτρονικού "ψαρέματος" που πλαστογραφεί μια πολύ οικεία επωνυμία και μια οικεία παρότρυνση για δράση ("ελέγξτε αυτά τα ασφαλή έγγραφα" ή "διαβάστε αυτό το ασφαλές μήνυμα"), λέει.

Δεν είναι σαφές πόσο μακριά μπορεί να επεκταθεί η καμπάνια, αλλά η έρευνα της εταιρείας έδειξε ότι τουλάχιστον χιλιάδες έχουν υποστεί phish μέχρι στιγμής.

«Ο συνολικός αριθμός των ατόμων που έψαξαν είναι άγνωστος, ερευνήσαμε μόνο μερικές περιπτώσεις που διασταύρωσαν τους πελάτες μας», λέει ο Benishti. «Αλλά μόνο από το μικρό δείγμα που αναλύσαμε, βρέθηκαν περισσότερα από 2,000 μοναδικά σετ διαπιστευτηρίων σε περισσότερες από 10,000 προσπάθειες υποβολής (πολλοί χρήστες παρείχαν τα ίδια ή εναλλακτικά διαπιστευτήρια πολλές φορές).»

Ο κίνδυνος για τα θύματα είναι υψηλός: Οι συναλλαγές που σχετίζονται με ακίνητα συχνά στοχεύουν σε περίπλοκες απάτες, ειδικά συναλλαγές που αφορούν εταιρείες τίτλων ακινήτων.

«Με βάση τις τάσεις και τα στατιστικά στοιχεία, αυτοί οι εισβολείς πιθανότατα θέλουν να χρησιμοποιήσουν τα διαπιστευτήρια για να τους επιτρέψουν να υποκλέψουν/κατευθύνουν/ανακατευθύνουν τραπεζικές μεταφορές που σχετίζονται με συναλλαγές ακινήτων», σύμφωνα με τον Benishti.

Οι ασφαλείς σύνδεσμοι της Microsoft πέφτουν στην εργασία

Επίσης αξιοσημείωτο (και ατυχές) στη συγκεκριμένη καμπάνια, ένας βασικός έλεγχος ασφαλείας προφανώς απέτυχε.

Στον αρχικό γύρο του ηλεκτρονικού ψαρέματος, η διεύθυνση URL στην οποία ζητήθηκε από τους στόχους να κάνουν κλικ δεν προσπάθησε να κρυφτεί, σημείωσαν οι ερευνητές. /folde…[dot]shtm.”

Ωστόσο, τα επόμενα κύματα έκρυψαν τη διεύθυνση πίσω από μια διεύθυνση URL ασφαλών συνδέσμων — μια δυνατότητα που βρίσκεται στο Microsoft Defender και υποτίθεται ότι σαρώνει διευθύνσεις URL για να εντοπίσει κακόβουλους συνδέσμους. Ο Ασφαλής Σύνδεσμος αντικαθιστά τον σύνδεσμο με διαφορετική διεύθυνση URL χρησιμοποιώντας ειδική ονοματολογία, μόλις αυτός ο σύνδεσμος σαρωθεί και κριθεί ασφαλής.

Σε αυτήν την περίπτωση, το εργαλείο δυσκόλεψε μόνο την οπτική επιθεώρηση του πραγματικού "αυτό είναι ένα phish!" συνδέσμου και επέτρεψε επίσης στα μηνύματα να περάσουν πιο εύκολα τα φίλτρα email. Η Microsoft δεν απάντησε σε αίτημα για σχολιασμό.

"Το Safe Links έχει πολλές γνωστές αδυναμίες και η δημιουργία μιας ψευδούς αίσθησης ασφάλειας είναι η σημαντική αδυναμία σε αυτήν την κατάσταση", λέει ο Benishti. «Το Safe Links δεν εντόπισε κανέναν κίνδυνο ή εξαπάτηση που σχετίζεται με τον αρχικό σύνδεσμο, αλλά επανέγραψε τον σύνδεσμο σαν να είχε. Οι χρήστες και πολλοί επαγγελματίες ασφάλειας αποκτούν μια ψευδή αίσθηση ασφάλειας επειδή υπάρχει έλεγχος ασφαλείας, αλλά αυτός ο έλεγχος είναι σε μεγάλο βαθμό αναποτελεσματικός».

Σημείωση επίσης: Στα μηνύματα ηλεκτρονικού ταχυδρομείου United Wholesale Mortgage, το μήνυμα επισημάνθηκε επίσης ως "Ασφαλής ειδοποίηση μέσω email", περιλάμβανε δήλωση αποποίησης εμπιστευτικότητας και έφερε ένα ψεύτικο banner "Secured by Proofpoint Encryption".

Ο Ryan Kalember, εκτελεστικός αντιπρόεδρος της στρατηγικής κυβερνοασφάλειας στην Proofpoint, είπε ότι η εταιρεία του δεν είναι ξένος με την πειρατεία της επωνυμίας, προσθέτοντας ότι η ψεύτικη χρήση του ονόματός της είναι στην πραγματικότητα μια γνωστή τεχνική κυβερνοεπίθεσης που σαρώνουν τα προϊόντα της εταιρείας.

Είναι μια καλή υπενθύμιση ότι οι χρήστες δεν μπορούν να βασιστούν στην επωνυμία για να προσδιορίσουν την ακρίβεια ενός μηνύματος, σημειώνει: «Οι παράγοντες απειλών συχνά προσποιούνται ότι είναι γνωστές μάρκες για να δελεάσουν τους στόχους τους να αποκαλύψουν πληροφορίες», λέει. «Επίσης συχνά υποδύονται γνωστούς προμηθευτές ασφαλείας για να προσθέσουν νομιμότητα στα email ηλεκτρονικού ψαρέματος τους».

Ακόμα και οι κακοί κάνουν λάθη

Εν τω μεταξύ, μπορεί να μην είναι μόνο οι phishers της OG που επωφελούνται από τα κλεμμένα διαπιστευτήρια.

Κατά τη διάρκεια της ανάλυσης της καμπάνιας, οι ερευνητές εντόπισαν μια διεύθυνση URL στα email που δεν θα έπρεπε να υπάρχουν: μια διαδρομή που οδηγεί σε έναν κατάλογο αρχείων υπολογιστή. Μέσα σε αυτόν τον κατάλογο υπήρχαν τα παράνομα κέρδη των εγκληματιών του κυβερνοχώρου, δηλαδή, κάθε συνδυασμός email και κωδικού πρόσβασης που υποβλήθηκε στον συγκεκριμένο ιστότοπο phishing, φυλάσσονταν σε ένα αρχείο καθαρού κειμένου στο οποίο θα μπορούσε να έχει πρόσβαση ο καθένας.

«Αυτό ήταν εντελώς ατύχημα», λέει ο Benishti. «Το αποτέλεσμα της ακατάλληλης δουλειάς ή το πιο πιθανό άγνοια εάν χρησιμοποιούν ένα κιτ phishing που αναπτύχθηκε από κάποιον άλλο – υπάρχουν πολλοί τόνοι από τα οποία είναι διαθέσιμα για αγορά στη μαύρη αγορά».

Οι ψεύτικοι διακομιστές ιστοσελίδων (και τα αρχεία καθαρού κειμένου) τερματίστηκαν ή αφαιρέθηκαν γρήγορα, αλλά όπως σημείωσε ο Benishti, είναι πιθανό το κιτ phishing που χρησιμοποιούν οι επιτιθέμενοι να ευθύνεται για το σφάλμα καθαρού κειμένου – που σημαίνει ότι «θα συνεχίσουν να διαθέτουν τα κλεμμένα διαπιστευτήριά τους στον κόσμο."

Κλεμμένα διαπιστευτήρια, περισσότερη πολυπλοκότητα τροφοδοτεί το Phish Frenzy

Η εκστρατεία θέτει ευρύτερα σε προοπτική την επιδημία του phishing και τη συλλογή διαπιστευτηρίων - και τι σημαίνει για τον έλεγχο ταυτότητας στο μέλλον, σημειώνουν οι ερευνητές.

Ο Darren Guccione, Διευθύνων Σύμβουλος και συνιδρυτής της Keeper Security, λέει ότι το phishing συνεχίζει να εξελίσσεται όσον αφορά το επίπεδο πολυπλοκότητάς του, το οποίο θα πρέπει να λειτουργεί ως προειδοποίηση προς τις επιχειρήσεις, δεδομένου του αυξημένου επιπέδου κινδύνου.

"Κακοί ηθοποιοί σε όλα τα επίπεδα προσαρμόζουν τις απάτες ηλεκτρονικού "ψαρέματος" χρησιμοποιώντας τακτικές που βασίζονται στην αισθητική, όπως πρότυπα email με ρεαλιστική εμφάνιση και κακόβουλους ιστότοπους για να δελεάσουν τα θύματά τους, και στη συνέχεια αναλαμβάνουν τον λογαριασμό τους αλλάζοντας τα διαπιστευτήρια, κάτι που εμποδίζει την πρόσβαση από τον έγκυρο ιδιοκτήτη." λέει στο Dark Reading. «Σε μια επίθεση πλαστοπροσωπίας προμηθευτή [όπως αυτή], όταν οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν κλεμμένα διαπιστευτήρια για να στείλουν μηνύματα ηλεκτρονικού ψαρέματος από μια νόμιμη διεύθυνση ηλεκτρονικού ταχυδρομείου, αυτή η επικίνδυνη τακτική είναι ακόμη πιο πειστική επειδή το email προέρχεται από μια γνωστή πηγή».

Τα περισσότερα σύγχρονα phish μπορούν επίσης να παρακάμψουν ασφαλείς πύλες email και ακόμη και να πλαστογραφήσουν ή να ανατρέψουν προμηθευτές ελέγχου ταυτότητας δύο παραγόντων (2FA)., προσθέτει η Monnia Deng, διευθύντρια μάρκετινγκ προϊόντων στο Bolster, ενώ η κοινωνική μηχανική γενικά είναι εξαιρετικά αποτελεσματική σε μια εποχή cloud, κινητικότητας και απομακρυσμένης εργασίας.

«Όταν όλοι αναμένουν ότι η εμπειρία τους στο διαδίκτυο θα είναι γρήγορη και εύκολη, το ανθρώπινο λάθος είναι αναπόφευκτο και αυτές οι καμπάνιες phishing γίνονται πιο έξυπνες», λέει. Προσθέτει ότι τρεις μακρο-τάσεις είναι υπεύθυνες για τους αριθμούς ρεκόρ των επιθέσεων που σχετίζονται με το phishing: «Η μετάβαση που τροφοδοτείται από πανδημία σε ψηφιακές πλατφόρμες για επιχειρηματική συνέχεια, ο αυξανόμενος στρατός παιδιών με σενάρια που μπορούν εύκολα να αγοράσουν κιτ phishing ή ακόμα και να αγοράσουν phishing ως συνδρομητική υπηρεσία και την αλληλεξάρτηση των τεχνολογικών πλατφορμών που θα μπορούσαν να δημιουργήσουν επίθεση στην αλυσίδα εφοδιασμού από ένα ηλεκτρονικό ταχυδρομείο phishing».

Έτσι, η πραγματικότητα είναι ότι το Dark Web φιλοξενεί μεγάλες κρυφές μνήμες κλεμμένων ονομάτων χρήστη και κωδικών πρόσβασης. Οι χωματερές μεγάλων δεδομένων δεν είναι ασυνήθιστες και με τη σειρά τους προκαλούν όχι μόνο επιθέσεις πλήρωσης διαπιστευτηρίων και ωμής βίας, αλλά και πρόσθετες προσπάθειες ηλεκτρονικού ψαρέματος.

Για παράδειγμα, είναι πιθανό οι φορείς απειλών να χρησιμοποίησαν πληροφορίες από μια πρόσφατη παραβίαση της First American Financial για να θέσουν σε κίνδυνο τον λογαριασμό email που χρησιμοποιούσαν για να στείλουν τα phish. εκείνο το περιστατικό αποκάλυψε 800 εκατομμύρια έγγραφα που περιείχαν προσωπικές πληροφορίες.

«Οι παραβιάσεις δεδομένων ή οι διαρροές έχουν μεγαλύτερο χρόνο ημιζωής από ό,τι νομίζουν οι άνθρωποι», λέει ο Benishti. «Η πρώτη παραβίαση των αμερικανικών οικονομικών συνέβη τον Μάιο του 2019, αλλά τα προσωπικά δεδομένα που εκτίθενται μπορούν να χρησιμοποιηθούν με όπλα χρόνια αργότερα».

Για να αποτρέψουμε αυτήν την πολυσύχναστη αγορά και τους κερδοσκόπους που δραστηριοποιούνται σε αυτήν, είναι καιρός να κοιτάξουμε πέρα ​​από τον κωδικό πρόσβασης, προσθέτει.

«Οι κωδικοί πρόσβασης απαιτούν ολοένα αυξανόμενη πολυπλοκότητα και συχνότητα περιστροφής, οδηγώντας σε εξάντληση ασφαλείας», λέει ο Benishti. «Πολλοί χρήστες αποδέχονται τον κίνδυνο να είναι ανασφαλείς για την προσπάθεια δημιουργίας πολύπλοκων κωδικών πρόσβασης, επειδή το να κάνεις το σωστό είναι τόσο περίπλοκο. Ο έλεγχος ταυτότητας πολλαπλών παραγόντων βοηθά, αλλά δεν είναι αλεξίσφαιρη λύση. Απαιτείται θεμελιώδης αλλαγή για να επαληθευτεί ότι είστε αυτός που λέτε ότι είστε σε έναν ψηφιακό κόσμο και να αποκτήσετε πρόσβαση στους πόρους που χρειάζεστε».

Πώς να καταπολεμήσετε το τσουνάμι Phishing

Καθώς οι ευρέως διαδεδομένες προσεγγίσεις χωρίς κωδικό πρόσβασης είναι ακόμα μακριά, ο Kalember της Proofpoint λέει ότι οι βασικές αρχές ευαισθητοποίησης των χρηστών είναι το μέρος που πρέπει να ξεκινήσετε κατά την καταπολέμηση του phishing.

«Οι άνθρωποι θα πρέπει να προσεγγίζουν όλες τις ανεπιθύμητες επικοινωνίες με προσοχή, ειδικά εκείνες που ζητούν από τον χρήστη να ενεργήσει, όπως λήψη ή άνοιγμα συνημμένου, κάνοντας κλικ σε έναν σύνδεσμο ή αποκάλυψη διαπιστευτηρίων όπως προσωπικές ή οικονομικές πληροφορίες», λέει.

Επίσης, είναι σημαντικό όλοι να μαθαίνουν και να εφαρμόζουν καλή υγιεινή κωδικών πρόσβασης σε κάθε υπηρεσία που χρησιμοποιούν, προσθέτει ο Benishti: «Και αν ποτέ ειδοποιηθείτε ότι τα στοιχεία σας μπορεί να έχουν εμπλακεί σε παραβίαση, επαναφέρετε όλους τους κωδικούς πρόσβασης για κάθε υπηρεσία που χρησιμοποιείτε . Αν όχι, οι επιτιθέμενοι με κίνητρα έχουν έξυπνους τρόπους συσχέτισης όλων των ειδών δεδομένων και λογαριασμών για να πάρουν αυτό που θέλουν».

Επιπλέον, η Ironscales συνιστά τακτικές δοκιμές προσομοίωσης phishing για όλους τους υπαλλήλους και κάλεσε ένα σύνολο βασικών κανόνων από κόκκινες σημαίες που πρέπει να αναζητήσετε:

• Οι χρήστες θα μπορούσαν να έχουν αναγνωρίσει αυτήν την επίθεση phishing κοιτάζοντας προσεκτικά τον αποστολέα
• Βεβαιωθείτε ότι η διεύθυνση αποστολής αντιστοιχεί στη διεύθυνση επιστροφής και ότι η διεύθυνση προέρχεται από έναν τομέα (URL) που συνήθως ταιριάζει με την επιχείρηση με την οποία συναλλάσσονται.
• Ψάξτε για κακή ορθογραφία και γραμματική.
• Τοποθετήστε το δείκτη του ποντικιού πάνω από συνδέσμους και δείτε την πλήρη διεύθυνση URL/διεύθυνση του προορισμού, δείτε αν σας φαίνεται ασυνήθιστο.
• Να είστε πάντα πολύ προσεκτικοί σχετικά με τους ιστότοπους που σας ζητούν διαπιστευτήρια που δεν σχετίζονται με αυτούς, όπως το Microsoft 365 ή η σύνδεση στο Google Workspace.