مفصل و نسبتاً غیرمعمول کمپین فیشینگ اعلانهای eFax را جعل میکند و از یک حساب تجاری در معرض خطر Dynamics 365 Customer Voice استفاده میکند تا قربانیان را فریب دهد تا اعتبار خود را از طریق صفحات microsoft.com واگذار کنند.
عوامل تهدید دهها شرکت را از طریق کمپین گستردهای که منتشر شده است، هدف قرار دادهاند مایکروسافت 365 را هدف قرار می دهد محققان مرکز دفاع فیشینگ Cofense (PDC) در یک پست وبلاگی که چهارشنبه منتشر شد، نشان دادند که کاربران از طیف متنوعی از بخشها - از جمله انرژی، خدمات مالی، املاک تجاری، مواد غذایی، تولید و حتی مبلمانسازی.
این کمپین از ترکیبی از تاکتیکهای رایج و غیرمعمول استفاده میکند تا کاربران را به کلیک روی صفحهای که به نظر میرسد آنها را به نظرسنجی بازخورد مشتری برای یک سرویس eFax هدایت میکند، فریب دهد، اما در عوض اعتبار آنها را میدزدد.
مهاجمان نه تنها eFax بلکه مایکروسافت را با استفاده از محتوای میزبانی شده در چندین صفحه microsoft.com در چندین مرحله از تلاش چند مرحله ای جعل می کنند. جوزف گالوپ، مدیر تحلیل اطلاعاتی در Cofense میگوید این کلاهبرداری یکی از تعدادی کمپین فیشینگ است که Cofense از بهار مشاهده کرده است و از تاکتیک مشابهی استفاده میکند.
او به Dark Reading میگوید: «در آوریل امسال، ما شروع به مشاهده حجم قابل توجهی از ایمیلهای فیشینگ با استفاده از پیوندهای نظرسنجی ncv[.]microsoft[.] embedded از نوع مورد استفاده در این کمپین کردیم.
ترکیبی از تاکتیک ها
ایمیلهای فیشینگ از یک فریب معمولی استفاده میکنند و ادعا میکنند که گیرنده یک فکس ۱۰ صفحهای شرکتی دریافت کرده است که توجه او را میطلبد. ناتانیل ساگیبندا از Cofense PDC در توضیح داد، اما پس از آن همه چیز از مسیر شکست خورده منحرف می شود. پست چهارشنبه.
گیرنده به احتمال زیاد پیامی را باز می کند که انتظار دارد به سندی مربوط باشد که نیاز به امضا دارد. او نوشت: «با این حال، وقتی متن پیام را می خوانید، این چیزی نیست که ما می بینیم.
در عوض، این ایمیل حاوی چیزی است که به نظر میرسد یک فایل پیدیاف ضمیمه و بدون نام است که از یک فکس تحویل داده شده است که حاوی یک فایل واقعی است - به گفته گالوپ، یک ویژگی غیرمعمول ایمیلهای فیشینگ.
او نوشت: «در حالی که بسیاری از کمپینهای فیشینگ اعتبار از پیوندهایی به فایلهای میزبانیشده استفاده میکنند، و برخی از پیوستها استفاده میکنند، کمتر دیده میشود که پیوند تعبیهشده را به عنوان یک پیوست مشاهده کنیم.
این طرح در پیام حتی بیشتر ضخیم تر می شود، که حاوی پاورقی است که نشان می دهد این یک سایت نظرسنجی - مانند مواردی که برای ارائه بازخورد مشتری استفاده می شود - پیام را ایجاد کرده است.
تقلید از نظرسنجی مشتری
به گفته محققان، هنگامی که کاربران روی پیوند کلیک می کنند، به تقلید متقاعدکننده ای از صفحه راه حل eFax هدایت می شوند که توسط یک صفحه Microsoft Dynamics 365 ارائه شده است که توسط مهاجمان در معرض خطر قرار گرفته است.
این صفحه شامل پیوندی به صفحه دیگری است که به نظر میرسد به نظرسنجی صدای مشتری مایکروسافت برای ارائه بازخورد در مورد سرویس eFax منجر میشود، اما در عوض قربانیان را به صفحه ورود به مایکروسافت میبرد که اعتبار آنها را استخراج میکند.
به گفته محققان، برای تقویت بیشتر مشروعیت در این صفحه، عامل تهدید تا آنجا پیش رفت که ویدئویی از راه حل های eFax را برای جزئیات سرویس جعلی جاسازی کرد و به کاربر دستور داد در صورت هرگونه سؤال با "eFaxdynamic365@" تماس بگیرد.
آنها افزودند که دکمه «ارسال» در پایین صفحه همچنین به عنوان تأییدیه دیگری است که عامل تهدید از یک قالب واقعی فرم بازخورد صدای مشتری مایکروسافت در کلاهبرداری استفاده کرده است.
Sagibanda نوشت، مهاجمان سپس الگو را با "اطلاعات جعلی eFax برای ترغیب گیرنده به کلیک روی پیوند" تغییر دادند، که منجر به یک صفحه ورود به سیستم مایکروسافت ساختگی می شود که اعتبار آنها را به یک URL خارجی میزبانی شده توسط مهاجمان ارسال می کند.
فریب دادن یک چشم آموزش دیده
گالوپ میگوید در حالی که کمپینهای اولیه بسیار سادهتر بودند - از جمله اطلاعات حداقلی که در نظرسنجی مایکروسافت میزبانی میشدند - کمپین جعل eFax برای تقویت مشروعیت کمپین بیشتر پیش میرود.
او خاطرنشان میکند که ترکیبی از تاکتیکهای چند مرحلهای و جعل هویت دوگانه ممکن است به پیامها اجازه دهد از طریق دروازههای ایمیل امن عبور کنند و همچنین حتی باهوشترین کاربران شرکتی را که برای شناسایی کلاهبرداریهای فیشینگ آموزش دیدهاند، فریب دهد.
گالوپ میگوید: «فقط کاربرانی که به بررسی نوار URL در هر مرحله در کل فرآیند ادامه میدهند، مطمئناً این را به عنوان یک تلاش فیشینگ تشخیص میدهند.
در واقع، نظرسنجی توسط شرکت امنیت سایبری Vade همچنین روز چهارشنبه منتشر شد که جعل هویت برند همچنان بهترین ابزاری است که فیشرها برای فریب دادن قربانیان به کلیک کردن بر روی ایمیل های مخرب استفاده می کنند.
در حقیقت، مهاجمان اغلب در کمپینهایی که در نیمه اول سال 2022 مشاهده شد، شخصیت مایکروسافت را به خود اختصاص دادند، اگرچه فیسبوک همچنان جعل هویتترین برند در کمپینهای فیشینگ مشاهده شده در سال جاری است.
بازی فیشینگ همچنان قوی است
به گفته گالوپ، محققان در حال حاضر شناسایی نکرده اند که چه کسی ممکن است در پشت این کلاهبرداری باشد، و نه انگیزه های خاص مهاجمان برای سرقت اطلاعات اعتباری.
بر اساس گزارش Vade، به طور کلی فیشینگ یکی از سادهترین و پرکاربردترین راهها برای عوامل تهدید برای به خطر انداختن قربانیان است، نه تنها برای سرقت اطلاعات اعتبار بلکه همچنین نرمافزارهای مخرب را گسترش میدهند، زیرا بدافزارهای ارسال شده توسط ایمیل به طور قابلتوجهی آسانتر از حملات از راه دور توزیع میشوند. .
در واقع، این نوع حملات در سه ماهه دوم سال شاهد افزایش ماه به ماه بود و سپس افزایش دیگری در ژوئن انجام شد که «ایمیلها را به حجم هشداردهندهای که از ژانویه 2022 مشاهده نشده بود، بازگرداند»، زمانی که وید بیش از 100 نفر را مشاهده کرد. میلیون ایمیل فیشینگ در حال توزیع
ناتالی پتیتو از Vade در گزارش نوشت: «سهولت نسبی که با آن هکرها می توانند حملات سایبری تنبیهی را از طریق ایمیل انجام دهند، ایمیل را به یکی از بردارهای اصلی حمله و تهدیدی دائمی برای مشاغل و کاربران نهایی تبدیل می کند. «ایمیلهای فیشینگ جعل برندهایی هستند که شما بیشتر به آن اعتماد دارید، و شبکه گستردهای از قربانیان بالقوه و پوششی از مشروعیت را برای فیشرهایی که بهعنوان یک برند ظاهر میشوند، ارائه میدهد.»