املاک و مستغلات فیش 1,000 اعتبار مایکروسافت 365 را از اطلاعات پلاتوبلاک چین می بلعد. جستجوی عمودی Ai.

املاک و مستغلات فیش 1,000 مورد از اعتبارنامه مایکروسافت 365 را می بلعد

تمبر زمان: 16 سپتامبر 2022، 2:30 بعد از ظهر

هزاران اعتبارنامه مایکروسافت 365 به عنوان بخشی از یک کمپین غیرمعمول و هدفمند جمع آوری اعتبار علیه متخصصان املاک و مستغلات به صورت متن ساده در سرورهای فیشینگ ذخیره شده اند. به گفته محققان، این حملات خطر رو به رشد و تکاملی را نشان می‌دهد که ترکیب‌های سنتی نام کاربری-گذرواژه وجود دارد، به‌ویژه زمانی که فیشینگ به رشد پیچیده‌تر خود ادامه می‌دهد و از امنیت اولیه ایمیل جلوگیری می‌کند. 

محققان شرکت Ironscales این حمله را کشف کردند که در آن مهاجمان سایبری به عنوان کارمندان دو فروشنده معروف خدمات مالی در فضای املاک ظاهر شدند: First American Financial Corp. و United Wholesale Mortgage. به گفته تحلیلگران، دزدان سایبری از این حساب‌ها برای ارسال ایمیل‌های فیشینگ به مشاوران املاک، وکلای املاک، نمایندگان مالکیت، و خریداران و فروشندگان استفاده می‌کنند تا آنها را به سمت صفحات لاگین مایکروسافت 365 جعلی هدایت کنند تا اعتبارنامه‌ها را بگیرند.

بر اساس ارسال 15 سپتامبر در کمپین از Ironscales. در هر دو مورد، پیوندهای جاسازی شده، گیرندگان را به صفحات لاگین جعلی هدایت می‌کنند و از آنها می‌خواهند وارد Microsoft 365 شوند.

هنگامی که در صفحه مخرب، محققان یک پیچ و تاب غیرمعمول را در روند کار مشاهده کردند: مهاجمان سعی کردند با تلاش برای حذف چندین رمز عبور از هر جلسه فیشینگ، از زمان خود با قربانیان نهایت استفاده را ببرند.

بر اساس نوشته‌های محققان، «هر تلاش برای ارسال این 365 اعتبارنامه با خطا مواجه می‌شود و کاربر را وادار می‌کند دوباره تلاش کند». «کاربران معمولاً حداقل یک بار دیگر اعتبارنامه‌های مشابه را قبل از اینکه انواع رمزهای عبور دیگری را که ممکن است در گذشته استفاده می‌کردند امتحان کنند، ارسال می‌کنند، و یک معدن طلا از اعتبارنامه‌ها را برای مجرمان فراهم می‌کنند تا بفروشند یا از آنها در حملات بیرحمانه یا پر کردن اعتبار استفاده کنند. به حساب های مالی یا رسانه های اجتماعی محبوب دسترسی داشته باشید.

ایال بنیشتی، بنیانگذار و مدیر عامل شرکت Ironscales به دارک ریدینگ می گوید که مراقبت در مورد هدف قرار دادن قربانیان با یک برنامه سنجیده شده یکی از قابل توجه ترین جنبه های کمپین است.

"این در حال انجام است افرادی که در املاک و مستغلات کار می کنند (نمایندگان املاک، نمایندگان مالکیت، وکلای املاک)، با استفاده از یک الگوی فیشینگ ایمیل که یک نام تجاری بسیار آشنا و تماس برای اقدام آشنا را جعل می‌کند («این اسناد امن را مرور کنید» یا «این پیام امن را بخوانید»)،» او می‌گوید.

مشخص نیست که این کمپین تا چه حد ممکن است گسترش یابد، اما تحقیقات شرکت نشان داد که حداقل هزاران نفر تاکنون فیش شده اند.

بنیشتی می‌گوید: «تعداد کل افرادی که فیش کرده‌اند ناشناخته است، ما فقط چند مورد را بررسی کردیم که مشتریان ما را قطع کردند. "اما فقط از نمونه کوچکی که ما تجزیه و تحلیل کردیم، بیش از 2,000 مجموعه منحصربفرد از اعتبارنامه ها در بیش از 10,000 تلاش برای ارسال یافت شد (بسیاری از کاربران چندین بار اعتبارنامه های مشابه یا جایگزین ارائه کردند."

خطر برای قربانیان زیاد است: معاملات مرتبط با املاک و مستغلات اغلب برای کلاهبرداری های پیچیده کلاهبرداری، به ویژه معاملات هدف قرار می گیرند. شامل شرکت های مالکیت ملکی.

بنا به گفته Benishti، «بر اساس روندها و آمار، این مهاجمان احتمالاً می‌خواهند از اعتبارنامه‌ها برای رهگیری/مستقیم/تغییر مسیر انتقال‌های سیمی مرتبط با معاملات املاک و مستغلات استفاده کنند.»

مایکروسافت Safe Links روی کار افتاد

همچنین قابل توجه (و تاسف بار) در این کمپین خاص، یک کنترل امنیتی اساسی ظاهرا شکست خورده است.

محققان خاطرنشان کردند: در دور اولیه فیشینگ، آدرس اینترنتی که از هدف‌ها خواسته شده بود روی آن کلیک کنند، سعی نکرد خود را پنهان کند - هنگام حرکت ماوس روی پیوند، یک URL با پرچم قرمز نمایش داده شد: «https://phishingsite.com /folde…[dot]shtm.”

با این حال، امواج بعدی آدرس را در پشت URL لینک های ایمن پنهان کردند - ویژگی موجود در Microsoft Defender که قرار است URL ها را اسکن کند تا لینک های مخرب را دریافت کند. Safe Link پیوند را با یک URL دیگر با استفاده از نامگذاری خاص بازنویسی می کند، پس از اینکه آن پیوند اسکن شد و ایمن تلقی شد.

در این مورد، این ابزار فقط بازرسی بصری واقعی را در صورت شما سخت‌تر می‌کند "این یک فیش است!" پیوند دهید، و همچنین به پیام‌ها اجازه داد راحت‌تر از فیلترهای ایمیل عبور کنند. مایکروسافت به درخواست برای اظهار نظر پاسخ نداد.

بنیشتی می گوید: «Safe Links چندین ضعف شناخته شده دارد و ایجاد حس امنیت کاذب نقطه ضعف قابل توجهی در این وضعیت است. «لینک های ایمن هیچ خطر یا فریب مرتبط با پیوند اصلی را شناسایی نکردند، اما پیوند را به گونه ای بازنویسی کردند که گویی وجود داشت. کاربران و بسیاری از متخصصان امنیتی به دلیل وجود یک کنترل امنیتی، احساس امنیت نادرستی به دست می آورند، اما این کنترل تا حد زیادی بی اثر است.

همچنین توجه داشته باشید: در ایمیل‌های وام مسکن عمده‌فروشی متحد، این پیام همچنین به‌عنوان «اعلان ایمیل امن» علامت‌گذاری شده بود، شامل یک سلب مسئولیت محرمانه‌بودن بود و یک بنر جعلی «Secured by Proofpoint Encryption» نشان داده شد.

رایان کالمبر، معاون اجرایی استراتژی امنیت سایبری در Proofpoint، گفت که شرکت او با ربوده شدن برند غریبه نیست، و افزود که استفاده جعلی از نام آن در واقع یک تکنیک شناخته شده حمله سایبری است که محصولات شرکت آن را اسکن می‌کنند.

او می‌گوید: «این یک یادآوری خوب است که کاربران نمی‌توانند برای تعیین صحت یک پیام به برندسازی اعتماد کنند، او می‌گوید: «بازیگران تهدید اغلب وانمود می‌کنند که برندهای معروفی هستند تا اهداف خود را برای افشای اطلاعات ترغیب کنند. آنها همچنین اغلب جعل فروشندگان امنیتی شناخته شده را جعل می کنند تا به ایمیل های فیشینگ خود مشروعیت بخشند.

حتی آدم های بد هم اشتباه می کنند

در همین حال، ممکن است فقط فیشرهای OG نباشند که از اعتبارنامه های سرقت شده سود می برند.

در طول تجزیه و تحلیل کمپین، محققان یک URL را در ایمیل‌ها انتخاب کردند که نباید وجود داشته باشد: مسیری که به فهرست فایل کامپیوتری اشاره می‌کند. در داخل آن دایرکتوری، دستاوردهای غیرقانونی مجرمان سایبری، یعنی هر ترکیب ایمیل و رمز عبور ارسال شده به آن سایت فیشینگ خاص، در یک فایل متنی واضح نگهداری می شد که هر کسی می توانست به آن دسترسی داشته باشد.

بنیشتی می گوید: «این کاملاً یک تصادف بود. نتیجه کار شلخته یا ناآگاهی به احتمال زیاد در صورت استفاده از کیت فیشینگ که توسط شخص دیگری ساخته شده است - تعداد زیادی از آن برای خرید در بازار سیاه موجود است.

سرورهای جعلی صفحه وب (و فایل‌های متن شفاف) به سرعت خاموش یا حذف شدند، اما همانطور که بنیشتی خاطرنشان کرد، احتمالاً کیت فیشینگی که مهاجمان استفاده می‌کنند، مسئول نقص متن واضح است - به این معنی که آنها «به در دسترس قرار دادن اعتبار دزدیده شده خود ادامه خواهند داد. به دنیا.”

مدارک دزدیده شده، پیچیدگی بیشتر به دیوانگی فیش دامن می زند

محققان خاطرنشان می کنند که این کمپین به طور گسترده تری اپیدمی فیشینگ و برداشت اعتبار را نشان می دهد - و معنای آن برای احراز هویت در آینده چیست.

دارن گوچیون، مدیرعامل و یکی از بنیانگذاران Keeper Security، می‌گوید که فیشینگ از نظر سطح پیچیدگی خود به تکامل خود ادامه می‌دهد، که باید به عنوان یک هشدار به شرکت هابا توجه به سطح ریسک بالا.

«بازیگران بد در همه سطوح با استفاده از تاکتیک‌های مبتنی بر زیبایی‌شناسی مانند قالب‌های ایمیل با ظاهر واقعی و وب‌سایت‌های مخرب، کلاهبرداری‌های فیشینگ را طراحی می‌کنند تا قربانیان خود را جذب کنند، سپس با تغییر اعتبار، حساب آن‌ها را تحت کنترل می‌گیرند، که از دسترسی مالک معتبر جلوگیری می‌کند.» او به دارک ریدینگ می گوید. «در یک حمله جعل هویت فروشنده [مانند این مورد]، زمانی که مجرمان سایبری از اعتبارنامه‌های سرقت شده برای ارسال ایمیل‌های فیشینگ از یک آدرس ایمیل قانونی استفاده می‌کنند، این تاکتیک خطرناک حتی قانع‌کننده‌تر است زیرا ایمیل از یک منبع آشنا منشا می‌گیرد.»

بیشتر فیش‌های مدرن همچنین می‌توانند دروازه‌های ایمیل امن را دور بزنند و حتی جعل یا برانداز کنند فروشندگان احراز هویت دو مرحله ای (2FA).مونیا دنگ، مدیر بازاریابی محصول در Bolster اضافه می کند، در حالی که مهندسی اجتماعی به طور کلی در زمان ابر، تحرک و کار از راه دور بسیار موثر است.

او می‌گوید: «وقتی همه انتظار دارند تجربه آنلاین‌شان سریع و آسان باشد، خطای انسانی اجتناب‌ناپذیر است و این کمپین‌های فیشینگ هوشمندانه‌تر می‌شوند. او می‌افزاید که سه گرایش کلان مسئول تعداد بی‌سابقه حملات فیشینگ هستند: «حرکت ناشی از بیماری همه‌گیر به سمت پلت‌فرم‌های دیجیتال برای تداوم کسب‌وکار، ارتش رو به رشد بچه‌های اسکریپت که می‌توانند به راحتی کیت‌های فیشینگ بخرند یا حتی فیشینگ را به‌عنوان یک فیشینگ بخرند. خدمات اشتراک و وابستگی متقابل پلتفرم های فناوری که می تواند یک حمله زنجیره تامین از طریق ایمیل فیشینگ ایجاد کند.

بنابراین، واقعیت این است که وب تاریک میزبان حافظه های پنهان بزرگی از نام های کاربری و رمزهای عبور سرقت شده است. تخلیه کلان داده غیرمعمول نیست، و به نوبه خود نه تنها باعث پر کردن اعتبار و حملات brute-force، بلکه تلاش‌های اضافی برای فیشینگ نیز می‌شود.

برای مثال، این امکان وجود دارد که عوامل تهدید از اطلاعات نقض اخیر First American Financial برای به خطر انداختن حساب ایمیلی که برای ارسال فیش استفاده می‌کردند استفاده کرده باشند. آن حادثه 800 میلیون سند حاوی اطلاعات شخصی را فاش کرد.

بنیشتی می‌گوید: «نفوذ یا نشت داده‌ها نیمه عمر بیشتری نسبت به آنچه مردم تصور می‌کنند دارند. «نخستین نقض مالی آمریکا در ماه مه ۲۰۱۹ اتفاق افتاد، اما داده‌های شخصی افشا شده می‌توانند سال‌ها پس از آن مورد استفاده قرار گیرند.»

او می‌افزاید: برای خنثی کردن این بازار شلوغ و سودجویان که در آن فعالیت می‌کنند، زمان آن فراتر از رمز عبور است.

بنیشتی می‌گوید: «گذرواژه‌ها به پیچیدگی و فرکانس چرخش روزافزون نیاز دارند که منجر به فرسودگی امنیتی می‌شود. "بسیاری از کاربران خطر ناامنی بودن را در تلاش برای ایجاد رمزهای عبور پیچیده می پذیرند زیرا انجام کار درست بسیار پیچیده است. احراز هویت چند عاملی کمک می کند، اما راه حلی ضد گلوله نیست. تغییرات اساسی لازم است تا تأیید شود که شما همان کسی هستید که می گویید در دنیای دیجیتال هستید و به منابع مورد نیاز خود دسترسی پیدا کنید.

نحوه مبارزه با سونامی فیشینگ

با وجود رویکردهای گسترده بدون رمز عبور هنوز راه دور است، Kalember از Proofpoint می گوید که اصول اولیه آگاهی کاربر مکانی برای شروع مبارزه با فیشینگ است.

او می‌گوید: «افراد باید با احتیاط به تمام ارتباطات ناخواسته، به‌ویژه آن‌هایی که از کاربر می‌خواهند عمل کند، مانند دانلود یا باز کردن پیوست، کلیک کردن بر روی پیوند، یا افشای اعتبار مانند اطلاعات شخصی یا مالی، احتیاط کنند.»

همچنین، بسیار مهم است که همه در هر سرویسی که استفاده می‌کنند، بهداشت رمز عبور را یاد بگیرند و رعایت کنند، بنیشتی می‌افزاید: «و اگر زمانی به شما اطلاع داده شد که اطلاعات شما ممکن است در معرض نقض قرار گرفته باشد، برای هر سرویسی که استفاده می‌کنید، همه رمزهای عبور خود را بازنشانی کنید. . در غیر این صورت، مهاجمان با انگیزه راه‌های هوشمندانه‌ای برای مرتبط کردن انواع داده‌ها و حساب‌ها برای رسیدن به آنچه می‌خواهند دارند.

علاوه بر این، Ironscales آزمایش‌های شبیه‌سازی فیشینگ منظم را برای همه کارمندان توصیه می‌کند و مجموعه‌ای از قوانین سرانگشتی از پرچم‌های قرمز را برای جستجوی آن فراخوانده است:

  • کاربران می توانستند با مشاهده دقیق فرستنده، این حمله فیشینگ را شناسایی کنند
  • مطمئن شوید که آدرس ارسال کننده با آدرس برگشتی مطابقت دارد و آدرس از دامنه (URL) است که معمولاً با تجارتی که با آن سروکار دارند مطابقت دارد.
  • به دنبال املا و دستور زبان بد باشید.
  • ماوس را روی پیوندها قرار دهید و به URL/آدرس کامل مقصد نگاه کنید، ببینید آیا غیرعادی به نظر می رسد.
  • همیشه در مورد سایت‌هایی که از شما اعتبارنامه‌هایی می‌خواهند که با آنها مرتبط نیست، مانند Microsoft 365 یا Google Workspace، بسیار محتاط باشید.

تمبر زمان:

بیشتر از تاریک خواندن