Real Estate Phish nielee 1,000 365 Microsoft XNUMX -kirjautumistietoa

Tuhansia Microsoft 365 -tunnuksia on löydetty tallennettuna selkeänä tekstinä tietojenkalastelupalvelimille osana epätavallista, kohdennettua tunnistetietojen keräämiskampanjaa kiinteistöalan ammattilaisia ​​vastaan. Hyökkäykset osoittavat perinteisten käyttäjätunnus-salasana-yhdistelmien kasvavan ja kehittyvän riskin, tutkijat sanovat, varsinkin kun tietojenkalastelu kehittyy jatkuvasti ja välttää sähköpostin perusturvallisuuden. 

Ironscalesin tutkijat löysivät hyökkäyksen, jossa kyberhyökkääjät esiintyivät kahden tunnetun rahoituspalvelutoimittajan työntekijöinä kiinteistöalalla: First American Financial Corp.:ssa ja United Wholesale Mortgagessa. Analyytikot käyttävät tilejä tietojenkalasteluviestien lähettämiseen kiinteistönvälittäjille, kiinteistöjuristeille, omistusoikeusagenteille sekä ostajille ja myyjille, analyytikot kertoivat, että he yrittävät ohjata heidät väärennetyille Microsoft 365 -kirjautumissivuille tunnistetietojen kaappaamista varten.

Sähköpostit varoittavat kohderyhmiä siitä, että liitetiedostot piti tarkistaa tai että heillä on uusia viestejä suojatulla palvelimella. 15. syyskuuta julkaistu Ironscalesin kampanjassa. Molemmissa tapauksissa upotetut linkit ohjaavat vastaanottajat väärennetyille kirjautumissivuille ja pyytävät heitä kirjautumaan Microsoft 365:een.

Haitalliselle sivulle päästyään tutkijat havaitsivat menettelyssä epätavallisen käänteen: Hyökkääjät yrittivät hyödyntää uhrien kanssa vietetystä ajastaan ​​yrittämällä kiusoitella useita salasanoja kustakin tietojenkalasteluistunnosta.

"Jokainen yritys lähettää nämä 365 tunnistetiedot palautti virheen ja kehotti käyttäjää yrittämään uudelleen", tutkijoiden kirjoituksen mukaan. "Käyttäjät lähettävät yleensä samat tunnistetiedot vielä ainakin kerran ennen kuin he kokeilevat muunnelmia muista aiemmin käyttämiään salasanoista, mikä tarjoaa rikollisille kultakaivoksen valtuustietoa myytäväksi tai käytettäväksi raa'an voiman tai tunnistetietojen täyttämisen hyökkäyksissä. käyttää suosittuja talous- tai sosiaalisen median tilejä."

Huolellisuus uhrien kohdistamisessa hyvin harkitulla suunnitelmalla on yksi kampanjan merkittävimmistä näkökohdista, Eyal Benishti, Ironscalesin perustaja ja toimitusjohtaja, kertoo Dark Readingille.

"Tämä menee perässä kiinteistöalalla työskentelevät ihmiset (kiinteistönvälittäjät, omistusoikeuden välittäjät, kiinteistölakimiehet) käyttämällä sähköpostin tietojenkalastelumallia, joka huijaa hyvin tuttua brändiä ja tuttua toimintakehotusta ("tarkista nämä suojatut asiakirjat" tai "lue tämä suojattu viesti"), hän sanoo.

On epäselvää, kuinka pitkälle kampanja voi levitä, mutta yrityksen tutkimus osoitti, että ainakin tuhansia on toistaiseksi huijattu.

"Kalastelujen kokonaismäärää ei tiedetä, tutkimme vain muutamia tapauksia, jotka kohtasivat asiakkaidemme", Benishti sanoo. "Mutta pelkästään analysoimamme pienen otoksen perusteella yli 2,000 10,000 lähetysyrityksessä löydettiin yli XNUMX XNUMX yksilöllistä tunnistejoukkoa (monet käyttäjät toimittivat samat tai vaihtoehtoiset tunnistetiedot useita kertoja)."

Uhrien riski on suuri: Kiinteistöihin liittyvät liiketoimet kohdistuvat usein kehittyneisiin petoshuijauksiin, erityisesti transaktioihin. joissa on mukana kiinteistöyhtiöitä.

"Trendien ja tilastojen perusteella nämä hyökkääjät haluavat todennäköisesti käyttää valtuustietoja, jotta he voivat siepata/ohjata/uudelleenohjata kiinteistökauppoihin liittyviä pankkisiirtoja", Benishti sanoo.

Microsoft Safe Links kaatuu työhönsä

Myös tässä kampanjassa huomionarvoista (ja valitettavaa) perusturvallisuusvalvonta ilmeisesti epäonnistui.

Ensimmäisellä tietojenkalastelukierroksella URL-osoite, jota kohdetta pyydettiin napsauttamaan, ei yrittänyt piilottaa itseään, tutkijat huomauttivat – kun hiiren osoitinta siirrettiin linkin päälle, näkyviin tuli punaista lippua heiluttava URL-osoite: "https://phishingsite.com /folde…[piste]shtm."

Myöhemmät aallot kuitenkin piilottivat osoitteen Safe Links URL -osoitteen taakse. Tämä on Microsoft Defenderin ominaisuus, jonka on tarkoitus tarkistaa URL-osoitteet haitallisten linkkien havaitsemiseksi. Turvallinen linkki korvaa linkin eri URL-osoitteella käyttämällä erityistä nimikkeistöä, kun linkki on skannattu ja todettu turvalliseksi.

Tässä tapauksessa työkalu vain vaikeutti "tämä on tietojenkalastelu!" linkki, ja myös viestit pääsivät helpommin ohi sähköpostisuodattimet. Microsoft ei vastannut kommenttipyyntöön.

"Safe Linksillä on useita tunnettuja heikkouksia, ja väärän turvallisuuden tunteen synnyttäminen on tämän tilanteen merkittävä heikkous", Benishti sanoo. "Safe Links ei havainnut alkuperäiseen linkkiin liittyviä riskejä tai petoksia, vaan kirjoitti linkin uudelleen niin kuin se olisi tehnyt. Käyttäjät ja monet turvallisuusalan ammattilaiset saavat väärän turvallisuuden tunteen, koska turvavalvonta on käytössä, mutta tämä valvonta on suurelta osin tehotonta."

Huomioi myös: United Wholesale Mortgage -sähköpostiviesteissä viesti oli myös merkitty "Suojattu sähköposti-ilmoitus", sisälsi luottamuksellisuuden vastuuvapauslausekkeen ja väärennetyn "Suojattu Proofpoint Encryption" -bannerin.

Ryan Kalember, Proofpointin kyberturvallisuusstrategiasta vastaava varatoimitusjohtaja, sanoi, että hänen yritykselleen ei ole vieras brändin kaappaus, ja lisäsi, että sen nimen väärennetty käyttö on itse asiassa tunnettu kyberhyökkäystekniikka, jota yrityksen tuotteet etsivät.

Se on hyvä muistutus siitä, että käyttäjät eivät voi luottaa brändäykseen viestin todenperäisyyden määrittämisessä, hän huomauttaa: "Uhkatoimijat teeskentelevät usein olevansa tunnettuja brändejä houkutellakseen kohteensa paljastamaan tietoja", hän sanoo. "He myös usein esiintyvät tunnetuina tietoturvatoimittajina lisätäkseen phishing-sähköpostiensa legitimiteettiä."

Jopa pahat pojat tekevät virheitä

Sillä välin eivät välttämättä vain OG-tietojenkalastelijat hyötyvät varastetuista tunnistetiedoista.

Kampanjan analysoinnin aikana tutkijat löysivät sähköposteista URL-osoitteen, jonka ei olisi pitänyt olla siellä: polun, joka osoittaa tietokoneen tiedostohakemistoon. Tuossa hakemistossa olivat kyberrikollisten väärin hankitut voitot, eli jokainen kyseiselle tietojenkalastelusivustolle lähetetty sähköposti- ja salasanayhdistelmä, joka säilytettiin selkeätekstitiedostossa, johon kuka tahansa olisi voinut päästä.

"Tämä oli täysin onnettomuus", Benishti sanoo. "Jos on huolimatonta työtä, tai todennäköisemmin tietämättömyyttä, jos he käyttävät jonkun muun kehittämää tietojenkalastelupakettia - joita on ostettavissa mustalla markkinalla."

Väärennetyt verkkosivupalvelimet (ja selkeätekstitiedostot) suljettiin tai poistettiin nopeasti, mutta kuten Benishti huomautti, on todennäköistä, että hyökkääjien käyttämä tietojenkalastelupaketti on vastuussa selkeän tekstin häiriöstä – mikä tarkoittaa, että he "aitavat edelleen varastetut tunnistetietonsa saataville maailmalle."

Varastetut valtakirjat, hienostuneempi polttoaineena Phish Frenzy

Kampanja tuo laajemmin perspektiiviin tietojenkalastelu- ja tunnistetietojen keräämisen epidemiaa – ja sen merkitystä autentikoinnin jatkossa, tutkijat huomauttavat.

Darren Guccione, Keeper Securityn toimitusjohtaja ja perustaja, sanoo, että tietojenkalastelu kehittyy edelleen kehittyneemmän tasonsa suhteen, minkä pitäisi toimia varoitus yrityksille, kun otetaan huomioon kohonnut riskitaso.

"Kaikkien tasojen huonot toimijat räätälöivät tietojenkalasteluhuijauksia käyttämällä esteettisiä taktiikoita, kuten realistisen näköisiä sähköpostimalleja ja haitallisia verkkosivustoja houkutellakseen uhrejaan ja ottavat sitten heidän tilinsä haltuunsa vaihtamalla valtuustietoja, mikä estää kelvollisen omistajan pääsyn niihin." hän kertoo Dark Readingille. "Jos verkkorikolliset käyttävät varastettuja valtuustietoja lähettäessään phishing-sähköposteja laillisesta sähköpostiosoitteesta toimittajan esiintymishyökkäyksessä [kuten tämä], tämä vaarallinen taktiikka on vieläkin vakuuttavampi, koska sähköposti on peräisin tutusta lähteestä."

Useimmat nykyaikaiset tietojenkalastelut voivat myös ohittaa suojatut sähköpostiyhdyskäytävät ja jopa huijata tai horjuttaa kaksivaiheisen autentikoinnin (2FA) toimittajat, lisää Monnia Deng, Bolsterin tuotemarkkinoinnin johtaja, kun taas sosiaalinen suunnittelu on yleisesti ottaen poikkeuksellisen tehokasta pilvi-, liikkuvuus- ja etätyön aikana.

"Kun kaikki odottavat verkkokokemuksensa olevan nopeaa ja helppoa, inhimilliset erehdykset ovat väistämättömiä, ja nämä tietojenkalastelukampanjat ovat entistä älykkäämpiä", hän sanoo. Hän lisää, että kolme makrotrendiä ovat vastuussa ennätysmäärästä tietojenkalasteluihin liittyviä hyökkäyksiä: "Pandemiasta johtuva siirtyminen digitaalisille alustoille liiketoiminnan jatkuvuuden takaamiseksi, kasvava joukko käsikirjoituslapsia, jotka voivat helposti ostaa phishing-paketteja tai jopa ostaa tietojenkalastelua tilauspalvelu ja teknologia-alustojen keskinäinen riippuvuus, jotka voivat luoda toimitusketjun hyökkäyksen tietojenkalasteluviestistä."

Siten todellisuus on, että Dark Web isännöi suuria välimuistia varastetuille käyttäjätunnuksille ja salasanoille; suuret datavedot eivät ole harvinaisia, ja ne puolestaan ​​kannustavat paitsi tunnistetietojen täyttämiseen ja raa'an voiman hyökkäyksiä, myös muita tietojenkalasteluyrityksiä.

On esimerkiksi mahdollista, että uhkatoimijat käyttivät tietoja äskettäin tapahtuneesta First American Financial -loukkauksesta vaarantaakseen sähköpostitilin, jota he käyttivät tietojenkalastelujen lähettämiseen. Tapahtuma paljasti 800 miljoonaa henkilökohtaista tietoa sisältävää asiakirjaa.

"Tietomurroilla tai vuodoilla on pidempi puoliintumisaika kuin ihmiset luulevat", Benishti sanoo. "Ensimmäinen amerikkalainen rahoitusmurto tapahtui toukokuussa 2019, mutta paljastettuja henkilötietoja voidaan käyttää aseista vuosia myöhemmin."

Tämän vilkkaan markkinoiden ja niillä toimivien voitonharjoittajien estämiseksi on aika katsoa salasanan pidemmälle, hän lisää.

"Salasanat vaativat yhä enemmän monimutkaisuutta ja kiertotaajuutta, mikä johtaa turvallisuuden loppuunpalamiseen", Benishti sanoo. "Monet käyttäjät hyväksyvät riskin olla epävarmoja monimutkaisten salasanojen luomisesta, koska oikean toiminnan tekeminen on niin monimutkaista. Monitekijätodennus auttaa, mutta se ei ole luodinkestävä ratkaisu. Tarvitaan perustavaa laatua olevaa muutosta, jotta voimme varmistaa, että olet se, joka väität olevasi digitaalisessa maailmassa, ja saada tarvitsemasi resurssit.

Kuinka taistella phishing-tsunamia vastaan

Koska laajalle levinneille salasanattomille lähestymistavoille on vielä matkaa, Proofpointin Kalember sanoo, että käyttäjätietoisuuden perusperiaatteet ovat oikea paikka torjua tietojenkalastelua.

"Ihmisten tulee suhtautua varoen kaikkeen ei-toivottuun viestintään, erityisesti sellaiseen, joka pyytää käyttäjää toimimaan, kuten liitteen lataamiseen tai avaamiseen, linkin napsautukseen tai valtuustietojen, kuten henkilökohtaisten tai taloudellisten tietojen paljastamiseen", hän sanoo.

Lisäksi on tärkeää, että kaikki oppivat ja harjoittavat hyvää salasanahygieniaa kaikissa käyttämissään palveluissa, Benishti lisää: "Ja jos saat ilmoituksen, että tietosi ovat saattaneet olla osallisena tietoturvaloukkauksessa, nollaa kaikki salasanasi jokaisessa käyttämässäsi palvelussa. . Jos ei, motivoituneilla hyökkääjillä on älykkäitä tapoja korreloida kaikenlaisia ​​tietoja ja tilejä saadakseen haluamansa."

Lisäksi Ironscales suosittelee säännöllistä phishing-simulaatiotestausta kaikille työntekijöille ja kehotti etsimään nyrkkisääntöä punaisia ​​lippuja:

• Käyttäjät olisivat voineet tunnistaa tämän phishing-hyökkäyksen katsomalla läheltä lähettäjää
• Varmista, että lähetysosoite vastaa palautusosoitetta ja että osoite on peräisin verkkotunnuksesta (URL), joka yleensä vastaa heidän kauppaa.
• Etsi huonoa oikeinkirjoitusta ja kielioppia.
• Vie hiiren osoitin linkkien päälle ja katso kohteen koko URL-osoite/osoite ja katso, näyttääkö se epätavalliselta.
• Ole aina erittäin varovainen sellaisten sivustojen suhteen, jotka pyytävät sinulta kirjautumistietoja, joita ei ole liitetty niihin, kuten Microsoft 365 tai Google Workspace -kirjautuminen.