Le hameçonnage immobilier avale des milliers d'informations d'identification Microsoft 1,000

Des milliers d’identifiants Microsoft 365 ont été découverts stockés en clair sur des serveurs de phishing, dans le cadre d’une campagne inhabituelle et ciblée de collecte d’identifiants contre les professionnels de l’immobilier. Selon les chercheurs, ces attaques mettent en évidence le risque croissant et évolutif que présentent les combinaisons nom d'utilisateur-mot de passe traditionnelles, d'autant plus que le phishing continue de gagner en sophistication, échappant à la sécurité de base de la messagerie électronique. 

Les chercheurs d'Ironscales ont découvert l'offensive, au cours de laquelle des cyberattaquants se sont fait passer pour des employés de deux fournisseurs de services financiers bien connus dans le secteur immobilier : First American Financial Corp. et United Wholesale Mortgage. Les cybercriminels utilisent les comptes pour envoyer des e-mails de phishing aux agents immobiliers, aux avocats spécialisés en droit immobilier, aux agents immobiliers, ainsi qu'aux acheteurs et vendeurs, ont déclaré les analystes, dans le but de les orienter vers des pages de connexion Microsoft 365 usurpées pour capturer les informations d'identification.

Les e-mails d'alerte ciblent que les documents joints doivent être examinés ou qu'ils ont de nouveaux messages hébergés sur un serveur sécurisé, selon un Publication du 15 septembre sur la campagne d'Ironscales. Dans les deux cas, des liens intégrés dirigent les destinataires vers les fausses pages de connexion leur demandant de se connecter à Microsoft 365.

Une fois sur la page malveillante, les chercheurs ont observé une tournure inhabituelle dans la procédure : les attaquants ont tenté de tirer le meilleur parti de leur temps avec les victimes en tentant d'extraire plusieurs mots de passe de chaque session de phishing.

"Chaque tentative de soumission de ces 365 informations d'identification renvoyait une erreur et invitait l'utilisateur à réessayer", selon le rapport des chercheurs. « Les utilisateurs soumettent généralement les mêmes informations d'identification au moins une fois de plus avant d'essayer des variantes d'autres mots de passe qu'ils auraient pu utiliser dans le passé, fournissant ainsi une mine d'or d'informations d'identification que les criminels peuvent vendre ou utiliser dans le cadre d'attaques par force brute ou de bourrage d'informations d'identification. accéder à des comptes financiers ou de réseaux sociaux populaires.

Le soin apporté au ciblage des victimes avec un plan bien pensé est l'un des aspects les plus remarquables de la campagne, explique Eyal Benishti, fondateur et PDG d'Ironscales, à Dark Reading.

"C'est après les gens qui travaillent dans l'immobilier (agents immobiliers, agents immobiliers, avocats immobiliers), en utilisant un modèle de phishing par courrier électronique qui usurpe une marque très familière et un appel à l'action familier (« consultez ces documents sécurisés » ou « lisez ce message sécurisé ») », dit-il.

On ne sait pas exactement jusqu'où la campagne pourrait s'étendre, mais l'enquête menée par l'entreprise a montré qu'au moins des milliers de personnes ont été victimes de phishing jusqu'à présent.

"Le nombre total de personnes victimes d'hameçonnage est inconnu, nous n'avons enquêté que sur quelques cas qui ont recoupé nos clients", explique Benishti. "Mais à partir du petit échantillon que nous avons analysé, plus de 2,000 10,000 ensembles d'informations d'identification uniques ont été trouvés dans plus de XNUMX XNUMX tentatives de soumission (de nombreux utilisateurs ont fourni plusieurs fois les mêmes informations d'identification ou des informations alternatives)."

Le risque pour les victimes est élevé : les transactions liées à l'immobilier sont souvent la cible d'escroqueries sophistiquées, en particulier les transactions. impliquant des sociétés de titres immobiliers.

« Sur la base des tendances et des statistiques, ces attaquants souhaitent probablement utiliser les informations d'identification pour leur permettre d'intercepter/diriger/rediriger les virements électroniques associés aux transactions immobilières », selon Benishti.

Microsoft Safe Links échoue au travail

Également notable (et malheureux) dans cette campagne particulière, un contrôle de sécurité de base a apparemment échoué.

Lors du premier cycle de phishing, l'URL sur laquelle les cibles étaient invitées à cliquer n'essayait pas de se cacher, ont noté les chercheurs : lorsque la souris survolait le lien, une URL agitant un drapeau rouge s'affichait : « https://phishingsite.com /folde…[point]shtm.

Cependant, les vagues suivantes ont caché l'adresse derrière une URL de liens sécurisés, une fonctionnalité trouvée dans Microsoft Defender qui est censée analyser les URL pour détecter les liens malveillants. Safe Link écrase le lien avec une URL différente en utilisant une nomenclature spéciale, une fois que ce lien est analysé et jugé sûr.

Dans ce cas, l’outil n’a fait que rendre plus difficile l’inspection visuelle du véritable message « c’est un phishing ! » lien, et a également permis aux messages de passer plus facilement les filtres de messagerie. Microsoft n'a pas répondu à une demande de commentaire.

"Safe Links présente plusieurs faiblesses connues et générer un faux sentiment de sécurité est la principale faiblesse de cette situation", explique Benishti. « Safe Links n'a détecté aucun risque ou tromperie associé au lien d'origine, mais a réécrit le lien comme si c'était le cas. Les utilisateurs et de nombreux professionnels de la sécurité acquièrent un faux sentiment de sécurité en raison d'un contrôle de sécurité en place, mais ce contrôle est largement inefficace.

À noter également : dans les e-mails de United Wholesale Mortgage, le message était également signalé comme une « notification par e-mail sécurisée », comprenait une clause de non-responsabilité en matière de confidentialité et arborait une fausse bannière « Sécurisé par le cryptage Proofpoint ».

Ryan Kalember, vice-président exécutif de la stratégie de cybersécurité chez Proofpoint, a déclaré que son entreprise n'était pas étrangère au détournement de marque, ajoutant que la fausse utilisation de son nom était en fait une technique de cyberattaque connue que les produits de l'entreprise recherchaient.

Cela rappelle que les utilisateurs ne peuvent pas se fier à l'image de marque pour déterminer la véracité d'un message, note-t-il : « Les acteurs de la menace se font souvent passer pour des marques connues pour inciter leurs cibles à divulguer des informations », dit-il. « Ils usurpent également souvent l’identité de fournisseurs de sécurité connus pour ajouter de la légitimité à leurs e-mails de phishing. »

Même les méchants font des erreurs

En attendant, ce ne sont peut-être pas seulement les phishers OG qui profitent des informations d’identification volées.

Lors de l'analyse de la campagne, les chercheurs ont repéré une URL dans les e-mails qui n'aurait pas dû s'y trouver : un chemin qui pointe vers un répertoire de fichiers informatiques. Dans ce répertoire se trouvaient les gains mal acquis des cybercriminels, c'est-à-dire chaque combinaison d'e-mail et de mot de passe soumise à ce site de phishing particulier, conservée dans un fichier en texte clair auquel tout le monde pouvait accéder.

"C'était totalement un accident", dit Benishti. "Le résultat d'un travail bâclé, ou plus probablement de l'ignorance s'ils utilisent un kit de phishing développé par quelqu'un d'autre – il en existe des tonnes disponibles à l'achat sur le marché noir."

Les faux serveurs de pages Web (et les fichiers en texte clair) ont été rapidement arrêtés ou supprimés, mais comme Benishti l'a noté, il est probable que le kit de phishing utilisé par les attaquants soit responsable du problème de texte clair, ce qui signifie qu'ils « continueront à rendre disponibles leurs informations d'identification volées ». au monde."

Des informations d'identification volées et une sophistication accrue alimentent la frénésie du phishing

La campagne met plus largement en perspective l’épidémie de phishing et de collecte d’informations d’identification – et ce que cela signifie pour l’authentification à l’avenir, notent les chercheurs.

Darren Guccione, PDG et co-fondateur de Keeper Security, affirme que le phishing continue d'évoluer en termes de niveau de sophistication, ce qui devrait servir de stratégie. avertissement aux entreprises, étant donné le niveau de risque élevé.

« Les acteurs malveillants à tous les niveaux adaptent les escroqueries par phishing en utilisant des tactiques esthétiques telles que des modèles de courrier électronique réalistes et des sites Web malveillants pour attirer leurs victimes, puis prennent le contrôle de leur compte en modifiant les informations d'identification, ce qui empêche l'accès du propriétaire valide. » dit-il à Dark Reading. "Dans une attaque d'usurpation d'identité de fournisseur [comme celle-ci], lorsque les cybercriminels utilisent des informations d'identification volées pour envoyer des e-mails de phishing à partir d'une adresse e-mail légitime, cette tactique dangereuse est encore plus convaincante car l'e-mail provient d'une source familière."

La plupart des phishing modernes peuvent également contourner les passerelles de messagerie sécurisées et même usurper ou subvertir Fournisseurs d'authentification à deux facteurs (2FA), ajoute Monnia Deng, directrice du marketing produit chez Bolster, alors que l'ingénierie sociale en général est extraordinairement efficace à l'heure du cloud, de la mobilité et du travail à distance.

« Alors que tout le monde s’attend à ce que son expérience en ligne soit rapide et simple, l’erreur humaine est inévitable et ces campagnes de phishing deviennent de plus en plus intelligentes », déclare-t-elle. Elle ajoute que trois macrotendances sont responsables du nombre record d’attaques liées au phishing : « Le passage, alimenté par la pandémie, aux plateformes numériques pour la continuité des activités, l’armée croissante de script kiddies qui peuvent facilement acheter des kits de phishing ou même acheter du phishing comme moyen de paiement. service d'abonnement et l'interdépendance des plates-formes technologiques qui pourraient créer une attaque de la chaîne d'approvisionnement à partir d'un e-mail de phishing.

Ainsi, la réalité est que le Dark Web héberge d’importants caches de noms d’utilisateur et de mots de passe volés ; Les dumps de données volumineuses ne sont pas rares et suscitent à leur tour non seulement des attaques de type credential stuffing et par force brute, mais également des efforts de phishing supplémentaires.

Par exemple, il est possible que les auteurs de la menace aient utilisé les informations d'une récente violation de First American Financial pour compromettre le compte de messagerie qu'ils ont utilisé pour envoyer les hameçonnages ; cet incident a révélé 800 millions de documents contenant des informations personnelles.

« Les violations ou fuites de données ont une demi-vie plus longue qu’on ne le pense », explique Benishti. « La première violation financière américaine s’est produite en mai 2019, mais les données personnelles exposées peuvent être utilisées des années plus tard comme une arme. »

Pour contrecarrer ce marché dynamique et les profiteurs qui y opèrent, il est temps de regarder au-delà du mot de passe, ajoute-t-il.

« Les mots de passe nécessitent une complexité et une fréquence de rotation toujours croissantes, ce qui conduit à un épuisement de la sécurité », explique Benishti. « De nombreux utilisateurs acceptent le risque de ne pas être en sécurité face à la création de mots de passe complexes, car faire les bons choix est très complexe. L’authentification multifacteur est utile, mais ce n’est pas une solution à toute épreuve. Un changement fondamental est nécessaire pour vérifier que vous êtes bien celui que vous prétendez être dans un monde numérique et accéder aux ressources dont vous avez besoin.

Comment lutter contre le tsunami de phishing

Alors que les approches sans mot de passe largement répandues sont encore loin d'être disponibles, Kalember de Proofpoint affirme que les principes de base de la sensibilisation des utilisateurs sont le point de départ pour lutter contre le phishing.

"Les gens doivent aborder toutes les communications non sollicitées avec prudence, en particulier celles qui demandent à l'utilisateur d'agir, comme télécharger ou ouvrir une pièce jointe, cliquer sur un lien ou divulguer des informations d'identification telles que des informations personnelles ou financières", dit-il.

En outre, il est essentiel que chacun apprenne et pratique une bonne hygiène des mots de passe sur chaque service qu'il utilise, ajoute Benishti : « Et si jamais vous êtes informé que vos informations peuvent avoir été impliquées dans une violation, réinitialisez tous vos mots de passe pour chaque service que vous utilisez. . Dans le cas contraire, les attaquants motivés disposent de moyens plus intelligents pour corréler toutes sortes de données et de comptes pour obtenir ce qu’ils veulent.

En outre, Ironscales recommande des tests réguliers de simulation de phishing à tous les employés et a lancé une série de signaux d'alarme à rechercher :

• Les utilisateurs auraient pu identifier cette attaque de phishing en examinant attentivement l'expéditeur.
• Assurez-vous que l'adresse d'envoi correspond à l'adresse de retour et que l'adresse provient d'un domaine (URL) qui correspond généralement à l'entreprise avec laquelle ils traitent.
• Recherchez les mauvaises orthographes et grammaires.
• Passez la souris sur les liens et regardez l'URL/l'adresse complète de la destination, voyez si cela semble inhabituel.
• Soyez toujours très prudent avec les sites qui vous demandent des informations d'identification qui ne leur sont pas associées, comme la connexion à Microsoft 365 ou à Google Workspace.