Viimistletud ja üsna ebatavaline andmepüügikampaania võltsib eFaxi märguandeid ja kasutab ohustatud Dynamics 365 Customer Voice'i ärikontot, et meelitada ohvreid microsoft.com-i lehtede kaudu oma mandaadist loobuma.
Ohutegijad on laialt levinud kampaania kaudu tabanud kümneid ettevõtteid, mis on sihivad Microsoft 365 Cofense'i andmepüügikaitsekeskuse (PDC) teadlased avaldasid kolmapäeval avaldatud ajaveebi postituses kasutajaid erinevatest sektoritest, sealhulgas energiast, finantsteenustest, kommertskinnisvarast, toidust, tootmisest ja isegi mööblitööstusest.
Kampaania kasutab tavaliste ja ebatavaliste taktikate kombinatsiooni, et meelitada kasutajaid klõpsama lehele, mis näib suunavat nad eFaxi teenuse klientide tagasiside küsitlusele, kuid varastab selle asemel nende volikirjad.
Ründajad kehastavad mitte ainult eFaxi, vaid ka Microsofti, kasutades mitmel microsoft.com-i lehel hostitud sisu mitmes etapis. Pettus on üks paljudest andmepüügikampaaniatest, mida Cofense on alates kevadest täheldanud ja mis kasutavad sarnast taktikat, ütleb Cofense'i luureanalüüsi juht Joseph Gallop.
"Selle aasta aprillis hakkasime nägema märkimisväärset hulka andmepüügimeile, kasutades manustatud ncv[.]microsoft[.]com-i uuringulinke, mida kasutatakse selles kampaanias," räägib ta Dark Readingile.
Taktika kombinatsioon
Andmepüügimeilid kasutavad tavalist meelitamist, väites, et adressaat on saanud 10-leheküljelise ettevõtte e-faksi, mis nõuab tema tähelepanu. Kuid pärast seda lähevad asjad lahti löödud rajalt, selgitas Cofense PDC Nathaniel Sagibanda Kolmapäevane postitus.
Tõenäoliselt avab saaja sõnumi, eeldades, et see on seotud allkirja vajava dokumendiga. "Kuid see pole see, mida me sõnumi sisu lugedes näeme," kirjutas ta.
Selle asemel sisaldab e-kiri seda, mis näib olevat manustatud nimetu PDF-fail, mis on saadetud faksist, mis sisaldab tegelikku faili – Gallopi sõnul on andmepüügimeili ebatavaline omadus.
"Kuigi paljud mandaadi andmepüügikampaaniad kasutavad hostitud failide linke ja mõned kasutavad manuseid, on harvem näha, et manustatud link on manuses," kirjutas ta.
Süžee pakseneb veelgi sõnumis, mis sisaldab jalust, mis näitab, et postituse kohaselt koostas sõnumi küsitlussait – näiteks need, mida kasutati klientide tagasiside andmiseks.
Kliendiuuringu jäljendamine
Kui kasutajad lingil klõpsavad, suunatakse nad eFaxi lahenduse lehe veenvale imitatsioonile, mille on renderdanud ründajate poolt ohustatud Microsoft Dynamics 365 leht, ütlesid teadlased.
See leht sisaldab linki teisele lehele, mis näib viivat Microsoft Customer Voice'i küsitlusele, et anda tagasisidet eFaxi teenuse kohta, kuid selle asemel suunatakse ohvrid Microsofti sisselogimislehele, mis eksfiltreerib nende mandaadid.
Selle lehe legitiimsuse edasiseks suurendamiseks läks ohutegija nii kaugele, et manustas eFaxi lahenduste video võltsitud teenuse üksikasjade jaoks, andes kasutajale korralduse võtta mis tahes päringu korral ühendust aadressil @eFaxdynamic365, ütlesid teadlased.
Lehe allosas olev nupp "Esita" on ka lisakinnitus, et ohus osaleja kasutas kelmuses tõelist Microsoft Customer Voice'i tagasiside vormimalli, lisasid nad.
Seejärel muutsid ründajad malli "võltsitud eFaksi teabega, et meelitada adressaati lingil klõpsama", mis viib Microsofti võltsitud sisselogimislehele, mis saadab nende mandaadid ründajate hostitud välisele URL-ile, kirjutas Sagibanda.
Treenitud silma lollitamine
Kuigi algsed kampaaniad olid palju lihtsamad – sisaldasid vaid minimaalset teavet, mida majutati Microsofti küsitluses, siis eFaxi võltsimise kampaania tugevdab kampaania legitiimsust veelgi, ütleb Gallop.
Ta märgib, et selle kombinatsioon mitmeastmelisest taktikast ja kahest kellegi teisena esinemisest võib lubada sõnumitel libiseda läbi turvaliste e-posti lüüside ning petta isegi kõige targemaid ettevõttekasutajaid, kes on koolitatud andmepüügipettusi märkama.
"Ainult kasutajad, kes jätkavad URL-i riba kontrollimist igas etapis kogu protsessi jooksul, tuvastavad selle kindlasti andmepüügikatsena," ütleb Gallop.
Tõepoolest, küberjulgeolekufirma Vade küsitlus ka kolmapäeval avaldatud leidis, et kaubamärgina esinemine on jätkuvalt peamine tööriist, mida andmepüüdjad kasutavad, et meelitada ohvreid klõpsama pahatahtlikel meilidel.
Teadlased leidsid, et ründajad võtsid Microsofti isiku kõige sagedamini 2022. aasta esimesel poolel vaadeldud kampaaniates, kuigi Facebook on sellel aastal seni vaadeldud andmepüügikampaaniate seas endiselt kõige enam kehastatav kaubamärk.
Andmepüügimäng jääb tugevaks
Teadlased ei ole praegu kindlaks teinud, kes võis pettuse taga olla, ega ka ründajate konkreetseid motiive volikirjade varastamiseks, ütleb Gallop.
Andmepüük on üldiselt endiselt üks lihtsamaid ja sagedamini kasutatavaid viise, kuidas ohus osalejad ohvreid kompromiteerivad, mitte ainult volikirjade varastamiseks, vaid ka pahatahtliku tarkvara levitamiseks, kuna Vade aruande kohaselt on meili teel levivat pahavara oluliselt lihtsam levitada kui kaugrünnakuid. .
Tõepoolest, seda tüüpi rünnakute arv kasvas aasta teises kvartalis kuude lõikes ja seejärel juunis veel üks tõuge, mis viis "e-kirjade tagasi murettekitavale hulgale, mida pole nähtud alates 2022. aasta jaanuarist", kui Vade'i arv ületas 100. miljonit andmepüügimeili jaotatud.
"Suhteline lihtsus, millega häkkerid saavad karistada küberrünnakute eest e-posti teel, muudab e-kirjad üheks peamiseks rünnakute levitajaks ning pidevaks ohuks ettevõtetele ja lõppkasutajatele," kirjutas Vade'i Natalie Petitto aruandes. "Andmepüügimeilid kehastavad kaubamärke, mida te enim usaldate, pakkudes potentsiaalsete ohvrite laia võrgustikku ja kaubamärkidena maskeerunud andmepüüdjate jaoks legitiimsust."
