هزاران اعتبارنامه مایکروسافت 365 به عنوان بخشی از یک کمپین غیرمعمول و هدفمند جمع آوری اعتبار علیه متخصصان املاک و مستغلات به صورت متن ساده در سرورهای فیشینگ ذخیره شده اند. به گفته محققان، این حملات خطر رو به رشد و تکاملی را نشان میدهد که ترکیبهای سنتی نام کاربری-گذرواژه وجود دارد، بهویژه زمانی که فیشینگ به رشد پیچیدهتر خود ادامه میدهد و از امنیت اولیه ایمیل جلوگیری میکند.
محققان شرکت Ironscales این حمله را کشف کردند که در آن مهاجمان سایبری به عنوان کارمندان دو فروشنده معروف خدمات مالی در فضای املاک ظاهر شدند: First American Financial Corp. و United Wholesale Mortgage. به گفته تحلیلگران، دزدان سایبری از این حسابها برای ارسال ایمیلهای فیشینگ به مشاوران املاک، وکلای املاک، نمایندگان مالکیت، و خریداران و فروشندگان استفاده میکنند تا آنها را به سمت صفحات لاگین مایکروسافت 365 جعلی هدایت کنند تا اعتبارنامهها را بگیرند.
بر اساس ارسال 15 سپتامبر در کمپین از Ironscales. در هر دو مورد، پیوندهای جاسازی شده، گیرندگان را به صفحات لاگین جعلی هدایت میکنند و از آنها میخواهند وارد Microsoft 365 شوند.
هنگامی که در صفحه مخرب، محققان یک پیچ و تاب غیرمعمول را در روند کار مشاهده کردند: مهاجمان سعی کردند با تلاش برای حذف چندین رمز عبور از هر جلسه فیشینگ، از زمان خود با قربانیان نهایت استفاده را ببرند.
بر اساس نوشتههای محققان، «هر تلاش برای ارسال این 365 اعتبارنامه با خطا مواجه میشود و کاربر را وادار میکند دوباره تلاش کند». «کاربران معمولاً حداقل یک بار دیگر اعتبارنامههای مشابه را قبل از اینکه انواع رمزهای عبور دیگری را که ممکن است در گذشته استفاده میکردند امتحان کنند، ارسال میکنند، و یک معدن طلا از اعتبارنامهها را برای مجرمان فراهم میکنند تا بفروشند یا از آنها در حملات بیرحمانه یا پر کردن اعتبار استفاده کنند. به حساب های مالی یا رسانه های اجتماعی محبوب دسترسی داشته باشید.
ایال بنیشتی، بنیانگذار و مدیر عامل شرکت Ironscales به دارک ریدینگ می گوید که مراقبت در مورد هدف قرار دادن قربانیان با یک برنامه سنجیده شده یکی از قابل توجه ترین جنبه های کمپین است.
"این در حال انجام است افرادی که در املاک و مستغلات کار می کنند (نمایندگان املاک، نمایندگان مالکیت، وکلای املاک)، با استفاده از یک الگوی فیشینگ ایمیل که یک نام تجاری بسیار آشنا و تماس برای اقدام آشنا را جعل میکند («این اسناد امن را مرور کنید» یا «این پیام امن را بخوانید»)،» او میگوید.
مشخص نیست که این کمپین تا چه حد ممکن است گسترش یابد، اما تحقیقات شرکت نشان داد که حداقل هزاران نفر تاکنون فیش شده اند.
بنیشتی میگوید: «تعداد کل افرادی که فیش کردهاند ناشناخته است، ما فقط چند مورد را بررسی کردیم که مشتریان ما را قطع کردند. "اما فقط از نمونه کوچکی که ما تجزیه و تحلیل کردیم، بیش از 2,000 مجموعه منحصربفرد از اعتبارنامه ها در بیش از 10,000 تلاش برای ارسال یافت شد (بسیاری از کاربران چندین بار اعتبارنامه های مشابه یا جایگزین ارائه کردند."
خطر برای قربانیان زیاد است: معاملات مرتبط با املاک و مستغلات اغلب برای کلاهبرداری های پیچیده کلاهبرداری، به ویژه معاملات هدف قرار می گیرند. شامل شرکت های مالکیت ملکی.
بنا به گفته Benishti، «بر اساس روندها و آمار، این مهاجمان احتمالاً میخواهند از اعتبارنامهها برای رهگیری/مستقیم/تغییر مسیر انتقالهای سیمی مرتبط با معاملات املاک و مستغلات استفاده کنند.»
مایکروسافت Safe Links روی کار افتاد
همچنین قابل توجه (و تاسف بار) در این کمپین خاص، یک کنترل امنیتی اساسی ظاهرا شکست خورده است.
محققان خاطرنشان کردند: در دور اولیه فیشینگ، آدرس اینترنتی که از هدفها خواسته شده بود روی آن کلیک کنند، سعی نکرد خود را پنهان کند - هنگام حرکت ماوس روی پیوند، یک URL با پرچم قرمز نمایش داده شد: «https://phishingsite.com /folde…[dot]shtm.”
با این حال، امواج بعدی آدرس را در پشت URL لینک های ایمن پنهان کردند - ویژگی موجود در Microsoft Defender که قرار است URL ها را اسکن کند تا لینک های مخرب را دریافت کند. Safe Link پیوند را با یک URL دیگر با استفاده از نامگذاری خاص بازنویسی می کند، پس از اینکه آن پیوند اسکن شد و ایمن تلقی شد.
در این مورد، این ابزار فقط بازرسی بصری واقعی را در صورت شما سختتر میکند "این یک فیش است!" پیوند دهید، و همچنین به پیامها اجازه داد راحتتر از فیلترهای ایمیل عبور کنند. مایکروسافت به درخواست برای اظهار نظر پاسخ نداد.
بنیشتی می گوید: «Safe Links چندین ضعف شناخته شده دارد و ایجاد حس امنیت کاذب نقطه ضعف قابل توجهی در این وضعیت است. «لینک های ایمن هیچ خطر یا فریب مرتبط با پیوند اصلی را شناسایی نکردند، اما پیوند را به گونه ای بازنویسی کردند که گویی وجود داشت. کاربران و بسیاری از متخصصان امنیتی به دلیل وجود یک کنترل امنیتی، احساس امنیت نادرستی به دست می آورند، اما این کنترل تا حد زیادی بی اثر است.
همچنین توجه داشته باشید: در ایمیلهای وام مسکن عمدهفروشی متحد، این پیام همچنین بهعنوان «اعلان ایمیل امن» علامتگذاری شده بود، شامل یک سلب مسئولیت محرمانهبودن بود و یک بنر جعلی «Secured by Proofpoint Encryption» نشان داده شد.
رایان کالمبر، معاون اجرایی استراتژی امنیت سایبری در Proofpoint، گفت که شرکت او با ربوده شدن برند غریبه نیست، و افزود که استفاده جعلی از نام آن در واقع یک تکنیک شناخته شده حمله سایبری است که محصولات شرکت آن را اسکن میکنند.
او میگوید: «این یک یادآوری خوب است که کاربران نمیتوانند برای تعیین صحت یک پیام به برندسازی اعتماد کنند، او میگوید: «بازیگران تهدید اغلب وانمود میکنند که برندهای معروفی هستند تا اهداف خود را برای افشای اطلاعات ترغیب کنند. آنها همچنین اغلب جعل فروشندگان امنیتی شناخته شده را جعل می کنند تا به ایمیل های فیشینگ خود مشروعیت بخشند.
حتی آدم های بد هم اشتباه می کنند
در همین حال، ممکن است فقط فیشرهای OG نباشند که از اعتبارنامه های سرقت شده سود می برند.
در طول تجزیه و تحلیل کمپین، محققان یک URL را در ایمیلها انتخاب کردند که نباید وجود داشته باشد: مسیری که به فهرست فایل کامپیوتری اشاره میکند. در داخل آن دایرکتوری، دستاوردهای غیرقانونی مجرمان سایبری، یعنی هر ترکیب ایمیل و رمز عبور ارسال شده به آن سایت فیشینگ خاص، در یک فایل متنی واضح نگهداری می شد که هر کسی می توانست به آن دسترسی داشته باشد.
بنیشتی می گوید: «این کاملاً یک تصادف بود. نتیجه کار شلخته یا ناآگاهی به احتمال زیاد در صورت استفاده از کیت فیشینگ که توسط شخص دیگری ساخته شده است - تعداد زیادی از آن برای خرید در بازار سیاه موجود است.
سرورهای جعلی صفحه وب (و فایلهای متن شفاف) به سرعت خاموش یا حذف شدند، اما همانطور که بنیشتی خاطرنشان کرد، احتمالاً کیت فیشینگی که مهاجمان استفاده میکنند، مسئول نقص متن واضح است - به این معنی که آنها «به در دسترس قرار دادن اعتبار دزدیده شده خود ادامه خواهند داد. به دنیا.”
مدارک دزدیده شده، پیچیدگی بیشتر به دیوانگی فیش دامن می زند
محققان خاطرنشان می کنند که این کمپین به طور گسترده تری اپیدمی فیشینگ و برداشت اعتبار را نشان می دهد - و معنای آن برای احراز هویت در آینده چیست.
دارن گوچیون، مدیرعامل و یکی از بنیانگذاران Keeper Security، میگوید که فیشینگ از نظر سطح پیچیدگی خود به تکامل خود ادامه میدهد، که باید به عنوان یک هشدار به شرکت هابا توجه به سطح ریسک بالا.
«بازیگران بد در همه سطوح با استفاده از تاکتیکهای مبتنی بر زیباییشناسی مانند قالبهای ایمیل با ظاهر واقعی و وبسایتهای مخرب، کلاهبرداریهای فیشینگ را طراحی میکنند تا قربانیان خود را جذب کنند، سپس با تغییر اعتبار، حساب آنها را تحت کنترل میگیرند، که از دسترسی مالک معتبر جلوگیری میکند.» او به دارک ریدینگ می گوید. «در یک حمله جعل هویت فروشنده [مانند این مورد]، زمانی که مجرمان سایبری از اعتبارنامههای سرقت شده برای ارسال ایمیلهای فیشینگ از یک آدرس ایمیل قانونی استفاده میکنند، این تاکتیک خطرناک حتی قانعکنندهتر است زیرا ایمیل از یک منبع آشنا منشا میگیرد.»
بیشتر فیشهای مدرن همچنین میتوانند دروازههای ایمیل امن را دور بزنند و حتی جعل یا برانداز کنند فروشندگان احراز هویت دو مرحله ای (2FA).مونیا دنگ، مدیر بازاریابی محصول در Bolster اضافه می کند، در حالی که مهندسی اجتماعی به طور کلی در زمان ابر، تحرک و کار از راه دور بسیار موثر است.
او میگوید: «وقتی همه انتظار دارند تجربه آنلاینشان سریع و آسان باشد، خطای انسانی اجتنابناپذیر است و این کمپینهای فیشینگ هوشمندانهتر میشوند. او میافزاید که سه گرایش کلان مسئول تعداد بیسابقه حملات فیشینگ هستند: «حرکت ناشی از بیماری همهگیر به سمت پلتفرمهای دیجیتال برای تداوم کسبوکار، ارتش رو به رشد بچههای اسکریپت که میتوانند به راحتی کیتهای فیشینگ بخرند یا حتی فیشینگ را بهعنوان یک فیشینگ بخرند. خدمات اشتراک و وابستگی متقابل پلتفرم های فناوری که می تواند یک حمله زنجیره تامین از طریق ایمیل فیشینگ ایجاد کند.
بنابراین، واقعیت این است که وب تاریک میزبان حافظه های پنهان بزرگی از نام های کاربری و رمزهای عبور سرقت شده است. تخلیه کلان داده غیرمعمول نیست، و به نوبه خود نه تنها باعث پر کردن اعتبار و حملات brute-force، بلکه تلاشهای اضافی برای فیشینگ نیز میشود.
برای مثال، این امکان وجود دارد که عوامل تهدید از اطلاعات نقض اخیر First American Financial برای به خطر انداختن حساب ایمیلی که برای ارسال فیش استفاده میکردند استفاده کرده باشند. آن حادثه 800 میلیون سند حاوی اطلاعات شخصی را فاش کرد.
بنیشتی میگوید: «نفوذ یا نشت دادهها نیمه عمر بیشتری نسبت به آنچه مردم تصور میکنند دارند. «نخستین نقض مالی آمریکا در ماه مه ۲۰۱۹ اتفاق افتاد، اما دادههای شخصی افشا شده میتوانند سالها پس از آن مورد استفاده قرار گیرند.»
او میافزاید: برای خنثی کردن این بازار شلوغ و سودجویان که در آن فعالیت میکنند، زمان آن فراتر از رمز عبور است.
بنیشتی میگوید: «گذرواژهها به پیچیدگی و فرکانس چرخش روزافزون نیاز دارند که منجر به فرسودگی امنیتی میشود. "بسیاری از کاربران خطر ناامنی بودن را در تلاش برای ایجاد رمزهای عبور پیچیده می پذیرند زیرا انجام کار درست بسیار پیچیده است. احراز هویت چند عاملی کمک می کند، اما راه حلی ضد گلوله نیست. تغییرات اساسی لازم است تا تأیید شود که شما همان کسی هستید که می گویید در دنیای دیجیتال هستید و به منابع مورد نیاز خود دسترسی پیدا کنید.
نحوه مبارزه با سونامی فیشینگ
با وجود رویکردهای گسترده بدون رمز عبور هنوز راه دور است، Kalember از Proofpoint می گوید که اصول اولیه آگاهی کاربر مکانی برای شروع مبارزه با فیشینگ است.
او میگوید: «افراد باید با احتیاط به تمام ارتباطات ناخواسته، بهویژه آنهایی که از کاربر میخواهند عمل کند، مانند دانلود یا باز کردن پیوست، کلیک کردن بر روی پیوند، یا افشای اعتبار مانند اطلاعات شخصی یا مالی، احتیاط کنند.»
همچنین، بسیار مهم است که همه در هر سرویسی که استفاده میکنند، بهداشت رمز عبور را یاد بگیرند و رعایت کنند، بنیشتی میافزاید: «و اگر زمانی به شما اطلاع داده شد که اطلاعات شما ممکن است در معرض نقض قرار گرفته باشد، برای هر سرویسی که استفاده میکنید، همه رمزهای عبور خود را بازنشانی کنید. . در غیر این صورت، مهاجمان با انگیزه راههای هوشمندانهای برای مرتبط کردن انواع دادهها و حسابها برای رسیدن به آنچه میخواهند دارند.
علاوه بر این، Ironscales آزمایشهای شبیهسازی فیشینگ منظم را برای همه کارمندان توصیه میکند و مجموعهای از قوانین سرانگشتی از پرچمهای قرمز را برای جستجوی آن فراخوانده است:
- کاربران می توانستند با مشاهده دقیق فرستنده، این حمله فیشینگ را شناسایی کنند
- مطمئن شوید که آدرس ارسال کننده با آدرس برگشتی مطابقت دارد و آدرس از دامنه (URL) است که معمولاً با تجارتی که با آن سروکار دارند مطابقت دارد.
- به دنبال املا و دستور زبان بد باشید.
- ماوس را روی پیوندها قرار دهید و به URL/آدرس کامل مقصد نگاه کنید، ببینید آیا غیرعادی به نظر می رسد.
- همیشه در مورد سایتهایی که از شما اعتبارنامههایی میخواهند که با آنها مرتبط نیست، مانند Microsoft 365 یا Google Workspace، بسیار محتاط باشید.