Osana ebatavalisest, sihipärasest kinnisvaraprofessionaalide vastu suunatud mandaatide kogumise kampaaniast on avastatud tuhandeid Microsoft 365 mandaate, mis on talletatud lihttekstina andmepüügiserverites. Teadlaste sõnul näitavad ründed traditsiooniliste kasutajanime ja parooli kombinatsioonidega kaasnevat kasvavat ja arenevat ohtu, eriti kuna andmepüük muutub üha keerukamaks, vältides elementaarset e-posti turvalisust.
Ironscalesi teadlased avastasid rünnaku, mille käigus küberründajad esinesid kahe kinnisvaravaldkonnas tuntud finantsteenuste müüja töötajatena: First American Financial Corp. ja United Wholesale Mortgage. Analüütikute sõnul kasutavad küberkelmid neid kontosid andmepüügimeilide saatmiseks kinnisvaramaakleritele, kinnisvaraadvokaatidele, omandiagentidele ning ostjatele ja müüjatele, et suunata neid volituste kogumiseks võltsitud Microsoft 365 sisselogimislehtedele.
Vastavalt 15. septembri postitus Ironscalesi kampaania kohta. Mõlemal juhul suunavad manustatud lingid adressaadid võltsitud sisselogimislehtedele, paludes neil Microsoft 365-sse sisse logida.
Pahatahtlikule lehele sattudes märkasid teadlased protsessis ebatavalist keerdkäiku: ründajad püüdsid ohvritega koos oldud aega maksimaalselt ära kasutada, üritades igalt andmepüügiseansil mitut parooli välja visata.
"Iga katse nende 365 mandaadi esitamiseks andis vea ja ajendas kasutajat uuesti proovima," öeldakse teadlaste kirjutises. "Kasutajad esitavad tavaliselt samad mandaadid veel vähemalt üks kord, enne kui nad proovivad muude paroolide variatsioone, mida nad võisid varem kasutada, pakkudes kurjategijatele mandaatide kullakaevandust, mida nad saavad müüa või kasutada jõhkra jõu või volituste täitmise rünnakutes. pääseda juurde populaarsetele finants- või sotsiaalmeediakontodele.
Hästi läbimõeldud plaaniga ohvrite sihtimise eest hoolitsemine on kampaania üks tähelepanuväärsemaid aspekte, ütleb Ironscalesi asutaja ja tegevjuht Eyal Benishti Dark Readingile.
"See läheb pärast inimesed, kes töötavad kinnisvara alal (kinnisvaramaaklerid, omandimaaklerid, kinnisvaraadvokaadid), kasutades e-kirja andmepüügimalli, mis võltsib väga tuttavat kaubamärki ja tuttavat kutset tegevusele ("vaadake need turvalised dokumendid üle" või "lugege seda turvalist sõnumit"), "ütleb ta.
Pole selge, kui kaugele kampaania võib laieneda, kuid ettevõtte uurimine näitas, et seni on andmepüügiga tegeletud vähemalt tuhandeid.
"Inimeste koguarv andmepüügist pole teada, uurisime vaid mõnda juhtumit, mis meie klientidega ristusid," ütleb Benishti. "Kuid ainuüksi analüüsitud väikese valimi põhjal leiti enam kui 2,000 10,000 esitamiskatsega rohkem kui XNUMX unikaalset mandaadikomplekti (paljud kasutajad esitasid samu või alternatiivseid mandaate mitu korda)."
Ohvrite oht on suur: kinnisvaraga seotud tehingud on sageli suunatud keerukatele petuskeemidele, eriti tehingutele. kaasates kinnisvara omavaid ettevõtteid.
"Trendide ja statistika põhjal soovivad need ründajad tõenäoliselt kasutada mandaate, et võimaldada neil kinni pidada/suunata/ümber suunata kinnisvaratehingutega seotud pangaülekandeid," ütles Benishti.
Microsofti turvalised lingid jäävad tööle
Ka selles konkreetses kampaanias on märkimisväärne (ja kahetsusväärne) elementaarne turvakontroll ilmselt ebaõnnestunud.
Teadlased märkisid, et algses andmepüügivoorus ei püüdnud URL, millel paluti klõpsata, end varjata – lingi kohal hiirekursorit liigutades kuvati punase lipuga lehvitav URL: "https://phishingsite.com /folde…[punkt]shtm.
Kuid järgnevad lained peitsid aadressi turvaliste linkide URL-i taha – see on Microsoft Defenderis leitud funktsioon, mis peaks skannima URL-e, et tuvastada pahatahtlikke linke. Turvaline link kirjutab lingi spetsiaalse nomenklatuuri abil üle teise URL-iga, kui link on skannitud ja ohutuks tunnistatud.
Sel juhul raskendas tööriist tegeliku näosaate „see on andmepüügi!“ visuaalset kontrollimist. linki ja võimaldas ka sõnumitel meilifiltritest hõlpsamini mööda minna. Microsoft ei vastanud kommentaaritaotlusele.
"Turvalistel linkidel on mitmeid teadaolevaid nõrkusi ja vale turvatunde tekitamine on selle olukorra oluline nõrkus," ütleb Benishti. „Turvalised lingid ei tuvastanud algse lingiga seotud riske ega pettusi, vaid kirjutasid lingi ümber nii, nagu oleks. Kasutajad ja paljud turvaspetsialistid saavad turvakontrolli tõttu vale turvatunde, kuid see kontroll on suures osas ebatõhus.
Märkus ka: United Wholesale Mortgage'i e-kirjades märgiti sõnum ka kui "Turvaline e-posti teatis", sisaldas konfidentsiaalsusest lahtiütlemist ja võltsitud bännerit "Proofpoint Encryption".
Proofpointi küberjulgeoleku strateegia asepresident Ryan Kalember ütles, et tema ettevõttele pole võõras kaubamärgi kaaperdamine, lisades, et selle nime võltskasutus on tegelikult teadaolev küberrünnaku tehnika, mida ettevõtte tooted otsivad.
Ta märgib, et see on hea meeldetuletus, et kasutajad ei saa sõnumi õigsuse määramisel tugineda kaubamärgile: "Ohutegijad teesklevad sageli tuntud kaubamärke, et meelitada oma sihtmärke teavet avaldama, " ütleb ta. "Samuti esinevad nad sageli tuntud turbemüüjatena, et anda andmepüügimeilidele legitiimsust."
Isegi pahad poisid teevad vigu
Samal ajal ei pruugi varastatud mandaatidest kasu saada ainult OG andmepüüdjad.
Kampaania analüüsi käigus leidsid teadlased e-kirjades URL-i, mis ei oleks tohtinud seal olla: tee, mis viitab arvuti failikataloogile. Selles kataloogis olid küberkurjategijate ebaseaduslikult saadud tulud, st iga konkreetsele andmepüügisaidile saadetud e-kirja ja parooli kombinatsioon, mida hoiti selgetekstifailis, millele igaüks võis juurde pääseda.
"See oli täiesti õnnetus, " ütleb Benishti. "Lohaka töö tulemus või tõenäolisem teadmatus, kui nad kasutavad kellegi teise väljatöötatud andmepüügikomplekti – neid on mustal turul ostmiseks palju."
Võltsveebileheserverid (ja selgetekstifailid) suleti või eemaldati kiiresti, kuid nagu Benishti märkis, on tõenäoline, et ründajate kasutatav andmepüügikomplekt vastutab selgeteksti tõrke eest – mis tähendab, et nad „jätkavad oma varastatud mandaatide kättesaadavaks tegemise. maailmale."
Varastatud volikirjad, rafineeritum toidab andmepüügihullust
Teadlased märgivad, et kampaania seab laiemalt perspektiivi andmepüügi ja mandaatide kogumise epideemia ja selle edasise autentimise tähenduse.
Darren Guccione, Keeper Security tegevjuht ja kaasasutaja, ütleb, et andmepüügi areneb jätkuvalt oma keerukuse taseme osas, mis peaks toimima hoiatus ettevõtetele, arvestades kõrgendatud riskitaset.
"Kõigil tasanditel töötavad halvad tegijad kohandavad andmepüügipettusi, kasutades esteetikapõhiseid taktikaid, nagu realistlikud e-kirjamallid ja pahatahtlikud veebisaidid, et meelitada oma ohvreid, seejärel võtavad nende konto üle, muutes mandaate, mis takistab kehtival omanikul juurdepääsu." räägib ta Dark Readingile. "Kui müüja kellegi teisena esinemise rünnakus [nagu see], kui küberkurjategijad kasutavad varastatud mandaate, et saata andmepüügimeile seaduslikult e-posti aadressilt, on see ohtlik taktika veelgi veenvam, kuna e-kiri pärineb tuttavast allikast."
Enamik tänapäevaseid andmepüüke saab ka turvalistest e-posti lüüsidest mööda minna ja isegi petta või õõnestada kahefaktorilise autentimise (2FA) tarnijad, lisab Bolsteri tooteturunduse direktor Monnia Deng, samas kui sotsiaalne insener on üldiselt pilve-, mobiilsuse ja kaugtöö ajal erakordselt tõhus.
"Kui kõik eeldavad, et nende veebikogemus on kiire ja lihtne, on inimlikud vead vältimatud ja need andmepüügikampaaniad muutuvad üha nutikamaks," ütleb ta. Ta lisab, et andmepüügiga seotud rünnakute rekordarvu põhjuseks on kolm makrotrendi: "Pandeemiast tingitud üleminek digitaalsetele platvormidele äritegevuse järjepidevuse tagamiseks, kasvav skriptilaste armee, kes saavad hõlpsasti andmepüügikomplekte osta või isegi andmepüügiga tegeleda. tellimisteenus ja tehnoloogiaplatvormide vastastikune sõltuvus, mis võib andmepüügimeilidest tarneahela rünnaku tekitada.
Seega on tegelikkus see, et Dark Web majutab suuri varastatud kasutajanimede ja paroolide vahemälu; suured andmemahud ei ole haruldased ja need omakorda ei õhuta mitte ainult mandaatide täitmist ja toore jõuga rünnakuid, vaid ka täiendavaid andmepüügiga seotud jõupingutusi.
Näiteks on võimalik, et ohus osalejad kasutasid hiljutise First American Financial'i rikkumise teavet, et ohustada e-posti kontot, mida nad andmepüügi väljasaatmiseks kasutasid; see juhtum paljastas 800 miljonit isikuandmeid sisaldavat dokumenti.
"Andmerikkumiste või -lekete poolestusaeg on pikem, kui inimesed arvavad," ütleb Benishti. "Esimene Ameerika finantsalane rikkumine juhtus 2019. aasta mais, kuid paljastatud isikuandmeid saab aastaid hiljem relvastada."
Ta lisab, et selle elava turu ja sellel tegutsevate kasusaajate nurjamiseks on aeg vaadata paroolist kaugemale.
"Paroolid nõuavad üha suuremat keerukust ja pöörlemissagedust, mis viib turvalisuse läbipõlemiseni," ütleb Benishti. "Paljud kasutajad nõustuvad riskiga, et nad on keerukate paroolide loomisel ebakindlad, sest õigete asjade tegemine on nii keeruline. Mitmefaktoriline autentimine aitab, kuid see pole kuulikindel lahendus. Vaja on põhjapanevat muudatust, et veenduda, et olete digitaalmaailmas see, kes te end ütlete, ja pääseda juurde vajalikele ressurssidele.
Kuidas võidelda andmepüügitsunami vastu
Kuna laialt levinud paroolita lähenemisviisid on veel kaugel, ütleb Proofpointi Kalember, et andmepüügiga võitlemisel tuleb alustada kasutajateadlikkuse põhiprintsiipidest.
"Inimesed peaksid suhtuma ettevaatlikult kõikidesse soovimatutesse suhtlustesse, eriti sellistesse, mis nõuavad kasutajalt tegutsemist, näiteks manuse allalaadimist või avamist, lingil klõpsamist või mandaatide (nt isiklik või finantsteave) avaldamist," ütleb ta.
Samuti on ülioluline, et kõik õpiksid ja järgiksid head paroolihügieeni kõigis kasutatavates teenustes, lisab Benishti: „Ja kui teile teatatakse, et teie teave võis olla seotud rikkumisega, lähtestage kõik oma paroolid iga kasutatava teenuse puhul. . Kui ei, siis on motiveeritud ründajatel nutikaid viise kõikvõimalike andmete ja kontode korreleerimiseks, et saada, mida nad tahavad.
Lisaks soovitab Ironscales kõikidele töötajatele regulaarset andmepüügisimulatsiooni testimist ja kutsus esile punaste lipukeste rusikareegel, mida otsida.
- Kasutajad oleksid võinud selle andmepüügirünnaku tuvastada, kui vaatasid saatjat tähelepanelikult
- Veenduge, et saatmisaadress ühtiks tagastusaadressiga ja aadress pärineb domeenist (URL), mis tavaliselt vastab ettevõttele, millega nad tegelevad.
- Otsige halba õigekirja ja grammatikat.
- Hõljutage kursorit linkide kohal ja vaadake sihtkoha täielikku URL-i/aadressi ja vaadake, kas see tundub ebatavaline.
- Olge alati väga ettevaatlik saitide puhul, mis küsivad teilt nendega seostamata mandaate (nt Microsoft 365 või Google Workspace'i sisselogimine).
