रियल एस्टेट फ़िश ने हज़ारों Microsoft 1,000 क्रेडेंशियल प्लेटोब्लॉकचेन डेटा इंटेलिजेंस को निगल लिया। लंबवत खोज. ऐ.

रियल एस्टेट फिश ने माइक्रोसॉफ्ट के 1,000 क्रेडेंशियल्स में से 365 को निगल लिया

टाइम स्टैम्प: 16 सितंबर, 2022 शाम 2:30 बजे

रियल एस्टेट पेशेवरों के खिलाफ एक असामान्य, लक्षित क्रेडेंशियल-कटाई अभियान के हिस्से के रूप में, हजारों Microsoft 365 क्रेडेंशियल्स को फ़िशिंग सर्वर पर प्लेनटेक्स्ट में संग्रहीत किया गया है। शोधकर्ताओं का कहना है कि हमले बढ़ते, बढ़ते जोखिम को प्रदर्शित करते हैं, जो कि पारंपरिक उपयोगकर्ता नाम-पासवर्ड संयोजन मौजूद हैं, विशेष रूप से फ़िशिंग परिष्कार में बढ़ रहा है, बुनियादी ईमेल सुरक्षा से बच रहा है। 

आयरनस्केल्स के शोधकर्ताओं ने आक्रामक की खोज की, जिसमें साइबर हमलावरों ने रियल्टी क्षेत्र में दो प्रसिद्ध वित्तीय-सेवा विक्रेताओं: फर्स्ट अमेरिकन फाइनेंशियल कॉर्प, और यूनाइटेड होलसेल मॉर्गेज के कर्मचारियों के रूप में खुद को पेश किया। विश्लेषकों ने कहा कि साइबर बदमाश रियल एस्टेट वकीलों, टाइटल एजेंटों और खरीदारों और विक्रेताओं को फ़िशिंग ईमेल भेजने के लिए खातों का उपयोग कर रहे हैं, उन्हें क्रेडेंशियल्स हासिल करने के लिए नकली Microsoft 365 लॉगिन पेजों की ओर ले जाने की कोशिश की जा रही है।

ईमेल अलर्ट लक्षित करता है कि संलग्न दस्तावेजों की समीक्षा करने की आवश्यकता है या उनके पास एक सुरक्षित सर्वर पर होस्ट किए गए नए संदेश हैं, a . के अनुसार 15 सितंबर पोस्टिंग आयरनस्केल्स के अभियान पर। दोनों ही मामलों में, एम्बेडेड लिंक प्राप्तकर्ताओं को नकली लॉगिन पृष्ठों पर सीधे Microsoft 365 में साइन इन करने के लिए कहते हैं।

एक बार दुर्भावनापूर्ण पृष्ठ पर, शोधकर्ताओं ने कार्यवाही में एक असामान्य मोड़ देखा: हमलावरों ने प्रत्येक फ़िशिंग सत्र से कई पासवर्ड छेड़ने का प्रयास करके पीड़ितों के साथ अपना अधिकांश समय बनाने की कोशिश की।

"इन 365 क्रेडेंशियल्स को सबमिट करने के प्रत्येक प्रयास ने एक त्रुटि लौटा दी और उपयोगकर्ता को फिर से प्रयास करने के लिए प्रेरित किया," शोधकर्ताओं के लेखन के अनुसार। "उपयोगकर्ता आमतौर पर कम से कम एक बार एक ही क्रेडेंशियल जमा करेंगे, इससे पहले कि वे अतीत में इस्तेमाल किए गए अन्य पासवर्डों की विविधता का प्रयास करें, अपराधियों को बेचने या क्रूर-बल या क्रेडेंशियल-स्टफिंग हमलों में उपयोग करने के लिए क्रेडेंशियल्स की सोने की खान प्रदान करें। लोकप्रिय वित्तीय या सोशल-मीडिया खातों तक पहुंचें।"

एक सुविचारित योजना के साथ पीड़ितों के लक्ष्यीकरण में बरती जाने वाली देखभाल अभियान के सबसे उल्लेखनीय पहलुओं में से एक है, आयरनस्केल्स के संस्थापक और मुख्य कार्यकारी अधिकारी, इयाल बेनिष्टी, डार्क रीडिंग को बताते हैं।

"यह बाद में जा रहा है" जो लोग अचल संपत्ति में काम करते हैं (रियल एस्टेट एजेंट, टाइटल एजेंट, रियल एस्टेट वकील), एक ईमेल फ़िशिंग टेम्प्लेट का उपयोग करते हुए, जो एक बहुत ही परिचित ब्रांड और परिचित कॉल टू एक्शन ('इन सुरक्षित दस्तावेज़ों की समीक्षा करें' या 'इस सुरक्षित संदेश को पढ़ें') को धोखा देता है," वे कहते हैं।

यह स्पष्ट नहीं है कि अभियान कितनी दूर तक फैल सकता है, लेकिन कंपनी की जांच से पता चला है कि अब तक कम से कम हजारों को फ़िश किया गया है।

बेनिष्टी कहती हैं, "फ़िशिंग किए गए लोगों की कुल संख्या अज्ञात है, हमने केवल कुछ उदाहरणों की जांच की, जिन्होंने हमारे ग्राहकों को प्रतिच्छेद किया।" "लेकिन हमारे द्वारा विश्लेषण किए गए छोटे नमूने से, 2,000 से अधिक सबमिशन प्रयासों में 10,000 से अधिक अद्वितीय क्रेडेंशियल्स पाए गए (कई उपयोगकर्ताओं ने एक ही या वैकल्पिक क्रेडेंशियल कई बार आपूर्ति की)।"

पीड़ितों के लिए जोखिम अधिक है: रियल एस्टेट से संबंधित लेनदेन अक्सर परिष्कृत धोखाधड़ी घोटालों, विशेष रूप से लेनदेन के लिए लक्षित होते हैं अचल संपत्ति शीर्षक कंपनियों को शामिल करना.

बेनिष्टी के अनुसार, "प्रवृत्तियों और आंकड़ों के आधार पर, ये हमलावर रियल एस्टेट लेनदेन से जुड़े वायर ट्रांसफर को इंटरसेप्ट / डायरेक्ट / रीडायरेक्ट करने में सक्षम बनाने के लिए क्रेडेंशियल्स का उपयोग करना चाहते हैं।"

Microsoft Safe Links काम पर गिर जाता है

इस विशेष अभियान में भी उल्लेखनीय (और दुर्भाग्यपूर्ण), एक बुनियादी सुरक्षा नियंत्रण स्पष्ट रूप से विफल रहा।

फ़िशिंग के शुरुआती दौर में, जिस यूआरएल को क्लिक करने के लिए कहा गया था, उसने खुद को छिपाने की कोशिश नहीं की, शोधकर्ताओं ने नोट किया - लिंक पर माउसिंग करते समय, एक लाल झंडा-लहरते यूआरएल प्रदर्शित किया गया था: "https://phishingsite.com /folde…[डॉट]shtm।"

हालाँकि, बाद की तरंगों ने एक सुरक्षित लिंक URL के पीछे के पते को छिपा दिया - Microsoft डिफेंडर में पाई जाने वाली एक विशेषता जो दुर्भावनापूर्ण लिंक को लेने के लिए URL को स्कैन करने वाली है। एक बार जब वह लिंक स्कैन और सुरक्षित माना जाता है, तो सुरक्षित लिंक विशेष नामकरण का उपयोग करके एक अलग यूआरएल के साथ लिंक को अधिलेखित कर देता है।

इस मामले में, उपकरण ने केवल वास्तविक रूप से आपके चेहरे का निरीक्षण करना कठिन बना दिया "यह एक फ़िश है!" लिंक, और संदेशों को पिछले ईमेल फ़िल्टर को अधिक आसानी से प्राप्त करने की अनुमति भी दी। Microsoft ने टिप्पणी के अनुरोध का जवाब नहीं दिया।

"सुरक्षित लिंक में कई ज्ञात कमजोरियां हैं और सुरक्षा की झूठी भावना पैदा करना इस स्थिति में महत्वपूर्ण कमजोरी है," बेनिष्टी कहते हैं। "सुरक्षित लिंक ने मूल लिंक से जुड़े किसी भी जोखिम या धोखे का पता नहीं लगाया, लेकिन लिंक को फिर से लिखा जैसे कि यह था। उपयोगकर्ता और कई सुरक्षा पेशेवर सुरक्षा की झूठी भावना प्राप्त करते हैं क्योंकि सुरक्षा नियंत्रण मौजूद है, लेकिन यह नियंत्रण काफी हद तक अप्रभावी है।"

यह भी ध्यान दें: यूनाइटेड होलसेल मॉर्गेज ईमेल में, संदेश को "सुरक्षित ईमेल अधिसूचना" के रूप में भी चिह्नित किया गया था, जिसमें एक गोपनीयता अस्वीकरण शामिल था, और एक नकली "प्रूफपॉइंट एन्क्रिप्शन द्वारा सुरक्षित" बैनर को स्पोर्ट किया था।

प्रूफपॉइंट में साइबर सुरक्षा रणनीति के कार्यकारी उपाध्यक्ष रयान कालेम्बर ने कहा कि उनकी कंपनी ब्रांड-अपहृत होने के लिए कोई अजनबी नहीं है, इसके नाम का नकली उपयोग वास्तव में एक ज्ञात साइबरटाक तकनीक है जिसे कंपनी के उत्पाद स्कैन करते हैं।

यह एक अच्छा अनुस्मारक है कि उपयोगकर्ता किसी संदेश की सत्यता का निर्धारण करने के लिए ब्रांडिंग पर भरोसा नहीं कर सकते हैं, वह नोट करता है: "धमकी देने वाले अभिनेता अक्सर अपने लक्ष्य को जानकारी प्रकट करने के लिए लुभाने के लिए प्रसिद्ध ब्रांड होने का दिखावा करते हैं," वे कहते हैं। "वे अक्सर अपने फ़िशिंग ईमेल में वैधता जोड़ने के लिए ज्ञात सुरक्षा विक्रेताओं का प्रतिरूपण भी करते हैं।"

बुरे लोग भी गलती करते हैं

इस बीच, यह केवल ओजी फिशर नहीं हो सकता है जो चोरी की गई साख से लाभान्वित हो रहे हैं।

अभियान के विश्लेषण के दौरान, शोधकर्ताओं ने ईमेल में एक यूआरएल उठाया जो वहां नहीं होना चाहिए था: एक पथ जो कंप्यूटर फ़ाइल निर्देशिका को इंगित करता है। उस निर्देशिका के अंदर साइबर अपराधियों की गलत कमाई थी, यानी उस विशेष फ़िशिंग साइट पर सबमिट किया गया हर एक ईमेल और पासवर्ड कॉम्बो, एक स्पष्ट टेक्स्ट फ़ाइल में रखा गया था जिसे कोई भी एक्सेस कर सकता था।

"यह पूरी तरह से एक दुर्घटना थी," बेनिष्टी कहती हैं। "मैला काम का परिणाम, या अधिक संभावना अज्ञानता अगर वे किसी और द्वारा विकसित फ़िशिंग किट का उपयोग कर रहे हैं - तो ऐसे कई टन हैं जो काला बाजार पर खरीदने के लिए उपलब्ध हैं।"

नकली वेबपेज सर्वर (और क्लियरटेक्स्ट फाइलें) को जल्दी से बंद या हटा दिया गया था, लेकिन जैसा कि बेनिष्टी ने कहा, यह संभावना है कि हमलावर जिस फ़िशिंग किट का उपयोग कर रहे हैं, वह क्लियरटेक्स्ट गड़बड़ के लिए जिम्मेदार है - जिसका अर्थ है कि वे "अपनी चोरी की गई साख उपलब्ध कराना जारी रखेंगे। दुनिया के लिए।"

चोरी की साख, अधिक परिष्कृत ईंधन फिश उन्माद

अभियान अधिक व्यापक रूप से फ़िशिंग और क्रेडेंशियल हार्वेस्टिंग की महामारी को परिप्रेक्ष्य में रखता है - और आगे प्रमाणीकरण के लिए इसका क्या अर्थ है, शोधकर्ताओं ने ध्यान दिया।

कीपर सिक्योरिटी के सीईओ और सह-संस्थापक डैरेन गुच्चियोन का कहना है कि फ़िशिंग अपने परिष्कार स्तर के संदर्भ में विकसित हो रहा है, जिसे एक के रूप में कार्य करना चाहिए उद्यमों को स्पष्ट चेतावनी, जोखिम के ऊंचे स्तर को देखते हुए।

"सभी स्तरों पर बुरे अभिनेता अपने पीड़ितों को लुभाने के लिए यथार्थवादी दिखने वाले ईमेल टेम्प्लेट और दुर्भावनापूर्ण वेबसाइटों जैसे सौंदर्य-आधारित रणनीति का उपयोग करके फ़िशिंग घोटाले की सिलाई कर रहे हैं, फिर क्रेडेंशियल्स को बदलकर उनके खाते पर कब्जा कर लेते हैं, जो वैध मालिक द्वारा पहुंच को रोकता है," वह डार्क रीडिंग बताता है। "एक विक्रेता प्रतिरूपण हमले [इस तरह] में, जब साइबर अपराधी एक वैध ईमेल पते से फ़िशिंग ईमेल भेजने के लिए चोरी की गई साख का उपयोग करते हैं, तो यह खतरनाक रणनीति और भी अधिक आश्वस्त होती है क्योंकि ईमेल एक परिचित स्रोत से उत्पन्न होता है।"

अधिकांश आधुनिक फ़िश सुरक्षित ईमेल गेटवे और यहाँ तक कि स्पूफ़ या सबवर्ट भी बायपास कर सकते हैं दो-कारक प्रमाणीकरण (2FA) विक्रेता, बोल्स्टर में उत्पाद विपणन निदेशक मोनिया डेंग कहते हैं, जबकि सामान्य रूप से सोशल इंजीनियरिंग क्लाउड, गतिशीलता और दूरस्थ कार्य के समय में असाधारण रूप से प्रभावी है।

"जब हर कोई अपने ऑनलाइन अनुभव को तेज़ और आसान होने की उम्मीद करता है, तो मानवीय त्रुटि अपरिहार्य है, और ये फ़िशिंग अभियान अधिक चतुर हो रहे हैं," वह कहती हैं। वह कहती हैं कि फ़िशिंग से संबंधित हमलों की रिकॉर्ड संख्या के लिए तीन मैक्रो-ट्रेंड जिम्मेदार हैं: “व्यापार निरंतरता के लिए डिजिटल प्लेटफॉर्म पर महामारी-ईंधन, स्क्रिप्ट किडीज की बढ़ती सेना जो आसानी से फ़िशिंग किट खरीद सकते हैं या फ़िशिंग भी खरीद सकते हैं। सदस्यता सेवा, और प्रौद्योगिकी प्लेटफार्मों की अन्योन्याश्रयता जो एक फ़िशिंग ईमेल से आपूर्ति श्रृंखला पर हमला कर सकती है।"

इस प्रकार, वास्तविकता यह है कि डार्क वेब चुराए गए उपयोगकर्ता नाम और पासवर्ड के बड़े कैश को होस्ट करता है; बड़े डेटा डंप असामान्य नहीं हैं, और बदले में न केवल क्रेडेंशियल-स्टफिंग और ब्रूट-फोर्स हमलों को प्रेरित कर रहे हैं, बल्कि अतिरिक्त फ़िशिंग प्रयास भी कर रहे हैं।

उदाहरण के लिए, यह संभव है कि धमकी देने वाले अभिनेताओं ने फ़िश को भेजने के लिए उपयोग किए गए ईमेल खाते से समझौता करने के लिए हाल ही में पहले अमेरिकी वित्तीय उल्लंघन की जानकारी का उपयोग किया हो; उस घटना ने व्यक्तिगत जानकारी वाले 800 मिलियन दस्तावेजों को उजागर किया।

"डेटा उल्लंघनों या लीक का लोगों के विचार से लंबा आधा जीवन है," बेनिष्टी कहते हैं। "पहला अमेरिकी वित्तीय उल्लंघन मई 2019 में हुआ था, लेकिन उजागर किए गए व्यक्तिगत डेटा को वर्षों बाद इस्तेमाल किया जा सकता है।"

उन्होंने कहा कि इस हलचल भरे बाजार और इसके भीतर काम करने वाले मुनाफाखोरों को विफल करने के लिए, पासवर्ड से परे देखने का समय आ गया है।

"पासवर्ड को लगातार बढ़ती जटिलता और रोटेशन आवृत्ति की आवश्यकता होती है, जिससे सुरक्षा बर्नआउट हो जाता है," बेनिष्टी कहते हैं। "कई उपयोगकर्ता जटिल पासवर्ड बनाने के प्रयास में असुरक्षित होने के जोखिम को स्वीकार करते हैं क्योंकि सही काम करना इतना जटिल हो जाता है। बहुकारक प्रमाणीकरण मदद करता है, लेकिन यह बुलेटप्रूफ समाधान नहीं है। आपको यह सत्यापित करने के लिए मौलिक परिवर्तन की आवश्यकता है कि आप कौन हैं जो आप कहते हैं कि आप एक डिजिटल दुनिया में हैं और आपको आवश्यक संसाधनों तक पहुंच प्राप्त करने की आवश्यकता है। ”

फ़िशिंग सुनामी से कैसे लड़ें?

व्यापक पासवर्ड रहित दृष्टिकोण के साथ अभी भी एक रास्ता बंद है, प्रूफपॉइंट के कालेम्बर का कहना है कि बुनियादी उपयोगकर्ता-जागरूकता सिद्धांत फ़िशिंग से लड़ते समय शुरू करने का स्थान है।

"लोगों को सावधानी के साथ सभी अवांछित संचारों से संपर्क करना चाहिए, विशेष रूप से वे जो उपयोगकर्ता से कार्य करने का अनुरोध करते हैं, जैसे कि अटैचमेंट डाउनलोड करना या खोलना, लिंक पर क्लिक करना, या व्यक्तिगत या वित्तीय जानकारी जैसे क्रेडेंशियल्स का खुलासा करना," वे कहते हैं।

इसके अलावा, यह महत्वपूर्ण है कि हर कोई अपने द्वारा उपयोग की जाने वाली प्रत्येक सेवा में अच्छी पासवर्ड स्वच्छता सीखें और अभ्यास करें, बेनिष्टी कहते हैं: "और यदि आपको कभी सूचित किया जाता है कि आपकी जानकारी उल्लंघन में शामिल हो सकती है, तो आपके द्वारा उपयोग की जाने वाली प्रत्येक सेवा के लिए अपने सभी पासवर्ड रीसेट करें। . यदि नहीं, तो प्रेरित हमलावरों के पास सभी प्रकार के डेटा और खातों को सहसंबंधित करने के चतुर तरीके हैं जो वे चाहते हैं।"

इसके अलावा, आयरनस्केल्स सभी कर्मचारियों के लिए नियमित रूप से फ़िशिंग सिमुलेशन परीक्षण की सिफारिश करता है, और देखने के लिए लाल झंडे के एक नियम के अंगूठे के सेट को बुलाया:

  • प्रेषक को करीब से देखकर उपयोगकर्ता इस फ़िशिंग हमले की पहचान कर सकते थे
  • सुनिश्चित करें कि भेजने का पता वापसी पते से मेल खाता है और पता उस डोमेन (यूआरएल) से है जो आमतौर पर उनके द्वारा किए जाने वाले व्यवसाय से मेल खाता है।
  • खराब वर्तनी और व्याकरण की तलाश करें।
  • लिंक पर माउस ले जाएँ और गंतव्य का पूरा URL/पता देखें, देखें कि क्या यह असामान्य लगता है।
  • उन साइटों के बारे में हमेशा बहुत सतर्क रहें जो आपसे Microsoft 365 या Google कार्यस्थान लॉगिन जैसे क्रेडेंशियल्स के बारे में पूछती हैं जो उनसे संबद्ध नहीं हैं।

समय टिकट:

से अधिक डार्क रीडिंग