کمپین فیشینگ غیرمعمول مایکروسافت 365 فکس را از طریق حساب صوتی Dynamics در معرض خطر جعل می کند

مفصل و نسبتاً غیرمعمول کمپین فیشینگ اعلان‌های eFax را جعل می‌کند و از یک حساب تجاری در معرض خطر Dynamics 365 Customer Voice استفاده می‌کند تا قربانیان را فریب دهد تا اعتبار خود را از طریق صفحات microsoft.com واگذار کنند.

عوامل تهدید ده‌ها شرکت را از طریق کمپین گسترده‌ای که منتشر شده است، هدف قرار داده‌اند مایکروسافت 365 را هدف قرار می دهد محققان مرکز دفاع فیشینگ Cofense (PDC) در یک پست وبلاگی که چهارشنبه منتشر شد، نشان دادند که کاربران از طیف متنوعی از بخش‌ها - از جمله انرژی، خدمات مالی، املاک تجاری، مواد غذایی، تولید و حتی مبلمان‌سازی.

این کمپین از ترکیبی از تاکتیک‌های رایج و غیرمعمول استفاده می‌کند تا کاربران را به کلیک روی صفحه‌ای که به نظر می‌رسد آنها را به نظرسنجی بازخورد مشتری برای یک سرویس eFax هدایت می‌کند، فریب دهد، اما در عوض اعتبار آنها را می‌دزدد.

مهاجمان نه تنها eFax بلکه مایکروسافت را با استفاده از محتوای میزبانی شده در چندین صفحه microsoft.com در چندین مرحله از تلاش چند مرحله ای جعل می کنند. جوزف گالوپ، مدیر تحلیل اطلاعاتی در Cofense می‌گوید این کلاهبرداری یکی از تعدادی کمپین فیشینگ است که Cofense از بهار مشاهده کرده است و از تاکتیک مشابهی استفاده می‌کند.

او به Dark Reading می‌گوید: «در آوریل امسال، ما شروع به مشاهده حجم قابل توجهی از ایمیل‌های فیشینگ با استفاده از پیوندهای نظرسنجی ncv[.]microsoft[.] embedded از نوع مورد استفاده در این کمپین کردیم.

ترکیبی از تاکتیک ها

ایمیل‌های فیشینگ از یک فریب معمولی استفاده می‌کنند و ادعا می‌کنند که گیرنده یک فکس ۱۰ صفحه‌ای شرکتی دریافت کرده است که توجه او را می‌طلبد. ناتانیل ساگیبندا از Cofense PDC در توضیح داد، اما پس از آن همه چیز از مسیر شکست خورده منحرف می شود. پست چهارشنبه.

گیرنده به احتمال زیاد پیامی را باز می کند که انتظار دارد به سندی مربوط باشد که نیاز به امضا دارد. او نوشت: «با این حال، وقتی متن پیام را می خوانید، این چیزی نیست که ما می بینیم.

در عوض، این ایمیل حاوی چیزی است که به نظر می‌رسد یک فایل پی‌دی‌اف ضمیمه و بدون نام است که از یک فکس تحویل داده شده است که حاوی یک فایل واقعی است - به گفته گالوپ، یک ویژگی غیرمعمول ایمیل‌های فیشینگ.

او نوشت: «در حالی که بسیاری از کمپین‌های فیشینگ اعتبار از پیوندهایی به فایل‌های میزبانی‌شده استفاده می‌کنند، و برخی از پیوست‌ها استفاده می‌کنند، کمتر دیده می‌شود که پیوند تعبیه‌شده را به عنوان یک پیوست مشاهده کنیم.

این طرح در پیام حتی بیشتر ضخیم تر می شود، که حاوی پاورقی است که نشان می دهد این یک سایت نظرسنجی - مانند مواردی که برای ارائه بازخورد مشتری استفاده می شود - پیام را ایجاد کرده است.

تقلید از نظرسنجی مشتری

به گفته محققان، هنگامی که کاربران روی پیوند کلیک می کنند، به تقلید متقاعدکننده ای از صفحه راه حل eFax هدایت می شوند که توسط یک صفحه Microsoft Dynamics 365 ارائه شده است که توسط مهاجمان در معرض خطر قرار گرفته است.

این صفحه شامل پیوندی به صفحه دیگری است که به نظر می‌رسد به نظرسنجی صدای مشتری مایکروسافت برای ارائه بازخورد در مورد سرویس eFax منجر می‌شود، اما در عوض قربانیان را به صفحه ورود به مایکروسافت می‌برد که اعتبار آنها را استخراج می‌کند.

به گفته محققان، برای تقویت بیشتر مشروعیت در این صفحه، عامل تهدید تا آنجا پیش رفت که ویدئویی از راه حل های eFax را برای جزئیات سرویس جعلی جاسازی کرد و به کاربر دستور داد در صورت هرگونه سؤال با "eFaxdynamic365@" تماس بگیرد.

آنها افزودند که دکمه «ارسال» در پایین صفحه همچنین به عنوان تأییدیه دیگری است که عامل تهدید از یک قالب واقعی فرم بازخورد صدای مشتری مایکروسافت در کلاهبرداری استفاده کرده است.

Sagibanda نوشت، مهاجمان سپس الگو را با "اطلاعات جعلی eFax برای ترغیب گیرنده به کلیک روی پیوند" تغییر دادند، که منجر به یک صفحه ورود به سیستم مایکروسافت ساختگی می شود که اعتبار آنها را به یک URL خارجی میزبانی شده توسط مهاجمان ارسال می کند.

فریب دادن یک چشم آموزش دیده

گالوپ می‌گوید در حالی که کمپین‌های اولیه بسیار ساده‌تر بودند - از جمله اطلاعات حداقلی که در نظرسنجی مایکروسافت میزبانی می‌شدند - کمپین جعل eFax برای تقویت مشروعیت کمپین بیشتر پیش می‌رود.

او خاطرنشان می‌کند که ترکیبی از تاکتیک‌های چند مرحله‌ای و جعل هویت دوگانه ممکن است به پیام‌ها اجازه دهد از طریق دروازه‌های ایمیل امن عبور کنند و همچنین حتی باهوش‌ترین کاربران شرکتی را که برای شناسایی کلاهبرداری‌های فیشینگ آموزش دیده‌اند، فریب دهد.

گالوپ می‌گوید: «فقط کاربرانی که به بررسی نوار URL در هر مرحله در کل فرآیند ادامه می‌دهند، مطمئناً این را به عنوان یک تلاش فیشینگ تشخیص می‌دهند.

در واقع، نظرسنجی توسط شرکت امنیت سایبری Vade همچنین روز چهارشنبه منتشر شد که جعل هویت برند همچنان بهترین ابزاری است که فیشرها برای فریب دادن قربانیان به کلیک کردن بر روی ایمیل های مخرب استفاده می کنند.

در حقیقت، مهاجمان اغلب در کمپین‌هایی که در نیمه اول سال 2022 مشاهده شد، شخصیت مایکروسافت را به خود اختصاص دادند، اگرچه فیس‌بوک همچنان جعل هویت‌ترین برند در کمپین‌های فیشینگ مشاهده شده در سال جاری است.

بازی فیشینگ همچنان قوی است

به گفته گالوپ، محققان در حال حاضر شناسایی نکرده اند که چه کسی ممکن است در پشت این کلاهبرداری باشد، و نه انگیزه های خاص مهاجمان برای سرقت اطلاعات اعتباری.

بر اساس گزارش Vade، به طور کلی فیشینگ یکی از ساده‌ترین و پرکاربردترین راه‌ها برای عوامل تهدید برای به خطر انداختن قربانیان است، نه تنها برای سرقت اطلاعات اعتبار بلکه همچنین نرم‌افزارهای مخرب را گسترش می‌دهند، زیرا بدافزارهای ارسال شده توسط ایمیل به طور قابل‌توجهی آسان‌تر از حملات از راه دور توزیع می‌شوند. .

در واقع، این نوع حملات در سه ماهه دوم سال شاهد افزایش ماه به ماه بود و سپس افزایش دیگری در ژوئن انجام شد که «ایمیل‌ها را به حجم هشداردهنده‌ای که از ژانویه 2022 مشاهده نشده بود، بازگرداند»، زمانی که وید بیش از 100 نفر را مشاهده کرد. میلیون ایمیل فیشینگ در حال توزیع

ناتالی پتیتو از Vade در گزارش نوشت: «سهولت نسبی که با آن هکرها می توانند حملات سایبری تنبیهی را از طریق ایمیل انجام دهند، ایمیل را به یکی از بردارهای اصلی حمله و تهدیدی دائمی برای مشاغل و کاربران نهایی تبدیل می کند. «ایمیل‌های فیشینگ جعل برندهایی هستند که شما بیشتر به آن اعتماد دارید، و شبکه گسترده‌ای از قربانیان بالقوه و پوششی از مشروعیت را برای فیشرهایی که به‌عنوان یک برند ظاهر می‌شوند، ارائه می‌دهد.»