Hienostunut ja melko epätavallinen tietojenkalastelukampanja huijaa eFax-ilmoituksia ja käyttää vaarantunutta Dynamics 365 Customer Voice -yritystiliä houkutellakseen uhreja luopumaan valtuustiedoistaan microsoft.com-sivujen kautta.
Uhkatoimijat ovat iskeneet kymmeniin yrityksiin laajalle levinneen kampanjan kautta kohdistettu Microsoft 365:een Cofense Phishing Defense Centerin (PDC) tutkijat paljastivat keskiviikkona julkaistussa blogiviestissä käyttäjiä useilta eri aloilta – mukaan lukien energia, rahoituspalvelut, kaupalliset kiinteistöt, ruoka, valmistus ja jopa huonekalujen valmistus.
Kampanja käyttää yhdistelmää yleisiä ja epätavallisia taktiikoita houkutellakseen käyttäjät napsauttamaan sivua, joka näyttää johtavan eFax-palvelua koskevaan asiakaspalautekyselyyn, mutta sen sijaan varastaa heidän valtuutustiedot.
Hyökkääjät jäljittelevät eFaxia, mutta myös Microsoftia käyttämällä useilla microsoft.com-sivuilla olevaa sisältöä monivaiheisen työn useissa vaiheissa. Huijaus on yksi monista tietojenkalastelukampanjoista, joita Cofense on havainnut keväästä lähtien ja joissa käytetään samanlaista taktiikkaa, Cofensen tiedusteluanalyysipäällikkö Joseph Gallop sanoo.
"Tämän vuoden huhtikuussa aloimme nähdä huomattavan määrän tietojenkalasteluviestejä, joissa käytettiin tässä kampanjassa käytettyjä upotettuja ncv[.]microsoft[.]com-kyselylinkkejä", hän kertoo Dark Readingille.
Taktikkojen yhdistelmä
Tietojenkalasteluviestit käyttävät tavanomaista houkuttelua, väittäen, että vastaanottaja on saanut 10-sivuisen yrityksen eFaksin, joka vaatii hänen huomiotaan. Mutta asiat poikkeavat syrjäytyneeltä tieltä sen jälkeen, Cofense PDC:n Nathaniel Sagibanda selitti. Keskiviikon postaus.
Vastaanottaja todennäköisesti avaa viestin odottaen, että se liittyy asiakirjaan, joka tarvitsee allekirjoituksen. "Se ei kuitenkaan ole sitä, mitä me näemme, kun luet viestin runkoa", hän kirjoitti.
Sen sijaan sähköposti sisältää liitteenä olevan nimettömän PDF-tiedoston, joka on toimitettu faksista, joka sisältää todellisen tiedoston – Gallopin mukaan tietojenkalasteluviestin epätavallinen ominaisuus.
"Vaikka monet tunnistetietojen kalastelukampanjat käyttävät linkkejä isännöityihin tiedostoihin ja jotkut käyttävät liitteitä, on harvinaisempaa nähdä upotettu linkki liitteenä", hän kirjoitti.
Juoni paksunee entisestään viestissä, joka sisältää alatunnisteen, joka osoittaa, että viestin mukaan viestin loi kyselysivusto - kuten ne, joita käytettiin asiakaspalautteen antamiseen.
Asiakaskyselyn matkiminen
Kun käyttäjät napsauttavat linkkiä, heidät ohjataan vakuuttavaan jäljitelmään eFax-ratkaisusivusta, jonka on luonut hyökkääjien vaarantama Microsoft Dynamics 365 -sivu, tutkijat sanoivat.
Tämä sivu sisältää linkin toiselle sivulle, joka näyttää johtavan Microsoft Customer Voice -kyselyyn, jossa annetaan palautetta eFax-palvelusta, mutta sen sijaan uhrit viedään Microsoftin kirjautumissivulle, joka suodattaa heidän tunnistetietonsa.
Tämän sivun legitiimiyden parantamiseksi entisestään uhkatekijä meni niin pitkälle, että upotti videon eFax-ratkaisuista väärennetyille palvelutiedoille ja kehotti käyttäjää ottamaan yhteyttä @eFaxdynamic365:een kaikissa tiedusteluissa, tutkijat sanoivat.
Sivun alareunassa oleva "Lähetä"-painike toimii myös lisävahvistuksena siitä, että uhkatekijä käytti huijauksessa todellista Microsoft Customer Voice -palautelomakemallia, he lisäsivät.
Sagibanda kirjoitti, että hyökkääjät muuttivat mallia "harhaanjohtavilla eFax-tiedoilla houkutellakseen vastaanottajan napsauttamaan linkkiä", mikä johtaa Microsoftin väärennetylle kirjautumissivulle, joka lähettää heidän tunnistetietonsa hyökkääjien isännöimään ulkoiseen URL-osoitteeseen.
Harjoitetun silmän huijaaminen
Vaikka alkuperäiset kampanjat olivat paljon yksinkertaisempia – sisältäen vain vähän Microsoftin kyselyssä isännöityä tietoa – eFax-huijauskampanja vahvistaa kampanjan legitiimiyttä, Gallop sanoo.
Sen monivaiheisen taktiikan ja kaksoistoisena henkilönä esiintymisen yhdistelmä voi sallia viestien lipsamisen suojattujen sähköpostiyhdyskäytävien kautta ja huijata jopa taitavimmat yrityskäyttäjät, jotka on koulutettu havaitsemaan tietojenkalasteluhuijauksia, hän huomauttaa.
"Vain käyttäjät, jotka jatkavat URL-palkin tarkistamista kussakin vaiheessa koko prosessin ajan, voivat varmasti tunnistaa tämän tietojenkalasteluyritykseksi", Gallop sanoo.
Todellakin, kyberturvallisuusyhtiö Vaden tekemä kysely myös julkaistiin keskiviikkona totesi, että merkkinä esiintyminen on edelleen tärkein työkalu, jota tietojenkalastelijat käyttävät huijatakseen uhreja napsauttamaan haitallisia sähköposteja.
Itse asiassa hyökkääjät omaksuivat Microsoftin persoonaa useimmiten vuoden 2022 ensimmäisellä puoliskolla havaituissa kampanjoissa, tutkijat havaitsivat, vaikka Facebook onkin edelleen tämän vuoden tähän mennessä havaittujen tietojenkalastelukampanjoiden jäljitelty brändi.
Tietojenkalastelupeli pysyy vahvana
Tutkijat eivät toistaiseksi ole tunnistaneet, kuka saattaa olla huijauksen takana, eivätkä hyökkääjien erityisiä motiiveja valtuustietojen varastamiseen, Gallop sanoo.
Tietojenkalastelu on kaiken kaikkiaan yksi helpoimmista ja useimmin käytetyistä tavoista uhkaavien toimijoille vaarantaa uhrit, paitsi varastaakseen kirjautumistietoja, myös levittääkseen haittaohjelmia, koska sähköpostiin lähetetyt haittaohjelmat ovat huomattavasti helpommin levitettävissä kuin etähyökkäykset, Vaden raportin mukaan. .
Itse asiassa tämäntyyppisten hyökkäysten määrä lisääntyi kuukausittain vuoden toisella neljänneksellä, ja sitten kesäkuussa uusi nousu, joka painoi "sähköpostit takaisin hälyttävälle määrälle, jota ei ole nähty tammikuun 2022 jälkeen", kun Vade näki yli 100:aa. miljoona tietojenkalasteluviestiä jakelussa.
"Suhteellisen helppous, jolla hakkerit voivat toimittaa rankaisevia kyberhyökkäyksiä sähköpostitse, tekee sähköpostista yhden hyökkäyksen yleisimmistä vektoreista ja jatkuvan uhan yrityksille ja loppukäyttäjille", Vaden Natalie Petitto kirjoitti raportissa. "Tietojenkalasteluviestit jäljittelevät brändejä, joihin luotat eniten, tarjoten laajan verkoston mahdollisia uhreja ja legitiimiyden peitteen brändeiksi naamioituneille tietojenkalastelulle."
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
