Több ezer Microsoft 365 hitelesítési adatot fedeztek fel egyszerű szövegként tárolva az adathalász szervereken, egy szokatlan, célzott hitelesítő adatgyűjtési kampány részeként az ingatlanszakértők ellen. A támadások a hagyományos felhasználónév-jelszó kombinációk növekvő, fejlődő kockázatát mutatják a kutatók szerint, különösen akkor, amikor az adathalászat egyre kifinomultabbá válik, elkerülve az alapvető e-mail-biztonságot.
Az Ironscales kutatói felfedezték az offenzívát, amelyben a kibertámadások két jól ismert pénzügyi szolgáltatónál adtak ki alkalmazottat az ingatlanpiacon: a First American Financial Corp.-nál és a United Wholesale Mortgage-nél. A kiberbűnözők a fiókokat arra használják, hogy adathalász e-maileket küldjenek ingatlanügynököknek, ingatlanjogászoknak, tulajdoni ügynököknek, valamint vevőknek és eladóknak, hogy megpróbálják rávenni őket a Microsoft 365 hamisított bejelentkezési oldalaira a hitelesítési adatok rögzítésére.
Az e-mailek figyelmeztetik a célszemélyeket, hogy a csatolt dokumentumokat ellenőrizni kell, vagy új üzeneteket tároltak egy biztonságos szerveren. Szeptember 15-i kiírás az Ironscales kampányáról. A beágyazott hivatkozások mindkét esetben a hamis bejelentkezési oldalakra irányítják a címzetteket, és arra kérik őket, hogy jelentkezzenek be a Microsoft 365-be.
A rosszindulatú oldalon a kutatók egy szokatlan fordulatot figyeltek meg az eljárás során: a támadók megpróbálták a legtöbbet kihozni az áldozatokkal töltött idejükből azzal, hogy minden adathalász munkamenetből több jelszót próbáltak kicsalni.
A kutatók írása szerint a 365-ös hitelesítő adatok benyújtására tett kísérletek mindegyike hibát eredményezett, és arra késztette a felhasználót, hogy próbálkozzon újra. „A felhasználók rendszerint még legalább egyszer elküldik ugyanazokat a hitelesítési adatokat, mielőtt kipróbálnák más jelszavak variációit, amelyeket korábban használtak, így biztosítva a hitelesítő adatok aranybányáját a bűnözők számára, amelyeket eladhatnak vagy felhasználhatnak nyers erőszakos vagy hitelesítő támadásokhoz. hozzáférhet a népszerű pénzügyi vagy közösségi média fiókokhoz."
Eyal Benishti, az Ironscales alapítója és vezérigazgatója a Dark Readingnek nyilatkozva az áldozatok megcélzásának gondossága egy jól átgondolt tervvel a kampány egyik legfigyelemreméltóbb aspektusa.
„Ez után megy ingatlannal dolgozó emberek (ingatlanügynökök, jogcímügynökök, ingatlanjogászok), olyan e-mailes adathalász sablont használva, amely egy nagyon ismerős márkát és ismerős cselekvésre való felhívást hamisít ("tekintse át ezeket a biztonságos dokumentumokat" vagy "olvassa el ezt a biztonságos üzenetet")” – mondja.
Nem világos, hogy a kampány meddig terjedhet, de a cég vizsgálata kimutatta, hogy eddig legalább ezreket adathalásztak.
„Az adathalászok teljes száma nem ismert, csak néhány olyan esetet vizsgáltunk meg, amelyek keresztezték ügyfeleinket” – mondja Benishti. „De pusztán az általunk elemzett kis mintavételből több mint 2,000 egyedi hitelesítő adatkészletet találtunk több mint 10,000 XNUMX beküldési kísérlet során (sok felhasználó többször is megadta ugyanazt vagy alternatív hitelesítő adatokat).
Az áldozatok kockázata magas: az ingatlannal kapcsolatos tranzakciók gyakran kifinomult csalási csalások célpontjai, különösen a tranzakciók ingatlantulajdonos társaságok bevonásával.
"A trendek és a statisztikák alapján ezek a támadók valószínűleg arra akarják használni a hitelesítő adatokat, hogy elfogják/irányítsák/átirányítsák az ingatlantranzakciókhoz kapcsolódó elektronikus átutalásokat" - mondta Benishti.
A Microsoft Safe Links nem működik
Szintén figyelemre méltó (és sajnálatos) ebben a kampányban, hogy az alapvető biztonsági ellenőrzés nyilvánvalóan meghiúsult.
A kutatók megjegyezték, hogy az adathalászat kezdeti körében az URL, amelyre a megcélzott személyeket rá kellett kattintani, nem próbálta elrejteni magát – amikor a link fölé vitte az egeret, egy piros zászlóval integető URL jelent meg: „https://phishingsite.com /folde…[pont]shtm.”
A későbbi hullámok azonban a címet egy Biztonságos hivatkozások URL-je mögé rejtették – ez a Microsoft Defender olyan funkciója, amely a rosszindulatú hivatkozások felderítése érdekében átvizsgálja az URL-eket. A Biztonságos link felülírja a hivatkozást egy másik URL-lel speciális nómenklatúra segítségével, miután a linket bevizsgálták és biztonságosnak ítélték.
Ebben az esetben az eszköz csak megnehezítette a tényleges „ez egy adathalász!” szemrevételezését. linket, és lehetővé tette az üzenetek könnyebb átjutását az e-mail szűrőkön. A Microsoft nem válaszolt a megjegyzéskérésre.
"A Safe Linksnek számos ismert gyengesége van, és ebben a helyzetben a hamis biztonságérzet generálása a jelentős gyengeség" - mondja Benishti. „A Safe Links nem észlelt semmilyen kockázatot vagy megtévesztést az eredeti linkkel kapcsolatban, de átírta a linket, mintha az lett volna. A felhasználók és sok biztonsági szakember hamis biztonságérzetet szerez, mert a biztonsági ellenőrzés működik, de ez az ellenőrzés nagyrészt hatástalan.”
Megjegyzés: A United Wholesale Mortgage e-mailekben az üzenetet „Biztonságos e-mailes értesítésként” is megjelölték, egy titoktartási nyilatkozatot is tartalmazott, és egy hamis „Proofpoint Encryption” szalaghirdetést tartalmazott.
Ryan Kalember, a Proofpoint kiberbiztonsági stratégiáért felelős ügyvezető alelnöke elmondta, hogy cégétől nem idegen a márka eltérítése, és hozzátette, hogy a név hamis használata valójában egy ismert kibertámadási technika, amelyet a cég termékei keresnek.
Jó emlékeztető arra, hogy a felhasználók nem hagyatkozhatnak a márkaépítésre az üzenet valódiságának meghatározásában – jegyzi meg: „A fenyegetés szereplői gyakran úgy tesznek, mintha jól ismert márkák lennének, hogy célpontjaikat információk közlésére csábítsák” – mondja. „Gyakran kiadják magukat ismert biztonsági szállítóknak is, hogy legitimitást adjanak adathalász e-mailjeiknek.”
Még a rosszfiúk is hibáznak
Eközben lehet, hogy nem csak az OG adathalászok profitálnak az ellopott hitelesítő adatokból.
A kampány elemzése során a kutatók egy olyan URL-t kerestek az e-mailekben, amelyeknek nem kellett volna ott lenniük: egy olyan elérési utat, amely egy számítógépes fájlkönyvtárra mutat. Ebben a könyvtárban voltak a kiberbûnözõk jogosulatlanul szerzett nyereségei, azaz minden egyes e-mail és jelszó kombináció, amelyet az adott adathalász oldalra küldtek, egy tiszta szöveges fájlban, amelyhez bárki hozzáférhetett.
„Ez teljesen baleset volt” – mondja Benishti. „A hanyag munka eredménye, vagy valószínűbb a tudatlanság, ha valaki más által kifejlesztett adathalász készletet használnak – amelyekből rengeteget lehet megvásárolni a feketepiacon.”
A hamis weboldalszervereket (és a szöveges fájlokat) gyorsan leállították vagy eltávolították, de ahogy Benishti megjegyezte, valószínű, hogy a támadók által használt adathalász készlet felelős a szöveges hibáért – ami azt jelenti, hogy „továbbra is elérhetővé teszik az ellopott hitelesítő adataikat a világnak."
Ellopott igazolványok, a kifinomultabb kifinomultság táplálja az adathalász őrületet
A kampány tágabb körben perspektívába helyezi az adathalászat és a hitelesítő adatok begyűjtésének járványát – és azt, hogy ez mit jelent a jövőbeni hitelesítés szempontjából, jegyzik meg a kutatók.
Darren Guccione, a Keeper Security vezérigazgatója és társalapítója azt mondja, hogy az adathalászat folyamatosan fejlődik kifinomultságának szintjét tekintve, aminek az figyelmeztetés a vállalkozásoknak, tekintettel a fokozott kockázati szintre.
„A rossz szereplők minden szinten esztétikai alapú taktikákkal, például valósághű e-mail-sablonokkal és rosszindulatú webhelyekkel szabják meg az adathalász csalásokat, hogy magukhoz csalják áldozataikat, majd a hitelesítő adatok megváltoztatásával átvegyék a fiókjukat, ami megakadályozza az érvényes tulajdonos hozzáférését.” – mondja a Dark Readingnek. „Egy szállítói megszemélyesítési támadásban [mint ez], amikor a kiberbűnözők lopott hitelesítő adatokat használnak fel adathalász e-mailek küldésére legitim e-mail címről, ez a veszélyes taktika még meggyőzőbb, mivel az e-mail ismerős forrásból származik.”
A legtöbb modern adathalász képes megkerülni a biztonságos e-mail átjárókat, sőt hamisítani vagy felforgatni is képes kétfaktoros hitelesítés (2FA) szállítók, teszi hozzá Monnia Deng, a Bolster termékmarketing igazgatója, miközben a social engineering általában rendkívül hatékony a felhő, a mobilitás és a távmunka idején.
„Amikor mindenki azt várja, hogy az online élmény gyors és egyszerű legyen, elkerülhetetlen az emberi hiba, és ezek az adathalász kampányok egyre okosabbak” – mondja. Hozzáteszi, hogy három makrotrend felelős az adathalászattal kapcsolatos támadások rekordszámáért: „A világjárvány által kiváltott átállás a digitális platformokra az üzletmenet folytonossága érdekében, a script kölykök növekvő serege, akik könnyedén vásárolhatnak adathalász készleteket, vagy akár adathalászat is vásárolhatnak. előfizetéses szolgáltatás, valamint a technológiai platformok kölcsönös függősége, amelyek ellátási lánc támadást hozhatnak létre egy adathalász e-mailből.”
Így a valóság az, hogy a Sötét Web az ellopott felhasználónevek és jelszavak nagy gyorsítótárát tárolja; A nagy adatkiíratások nem ritkák, és nem csak a hitelesítő adatok kitöltését és a brute force támadásokat ösztönzik, hanem további adathalász erőfeszítéseket is.
Lehetséges például, hogy a fenyegetés szereplői egy nemrégiben végrehajtott First American Financial incidensből származó információkat használtak fel az adathalászat küldésére használt e-mail fiók feltörésére; az incidens 800 millió személyes adatokat tartalmazó dokumentumot tárt fel.
"Az adatszivárgás vagy adatszivárgás felezési ideje hosszabb, mint azt az emberek gondolják" - mondja Benishti. „Az első amerikai pénzügyi incidens 2019 májusában történt, de a nyilvánosságra hozott személyes adatok évek múlva fegyveresen felhasználhatók.”
Ennek a nyüzsgő piacnak és az azon belül működő haszonlesőknek a meghiúsítása érdekében ideje túltekinteni a jelszón – teszi hozzá.
„A jelszavak egyre nagyobb bonyolultságot és forgatási gyakoriságot igényelnek, ami a biztonsági kiégéshez vezet” – mondja Benishti. „Sok felhasználó elfogadja a kockázatot, hogy elbizonytalanodik az összetett jelszavak létrehozására irányuló erőfeszítéssel kapcsolatban, mert a helyes cselekvés olyan bonyolulttá válik. A többtényezős hitelesítés segít, de nem golyóálló megoldás. Alapvető változásra van szükség ahhoz, hogy igazoljuk, hogy Ön az, akinek mondja magát a digitális világban, és hozzáférhet a szükséges erőforrásokhoz.”
Hogyan harcoljunk az adathalász cunami ellen
Mivel a széles körben elterjedt jelszó nélküli megközelítések még mindig távol vannak, a Proofpoint Kalember azt mondja, hogy az adathalászat elleni küzdelemben az alapvető felhasználói tudatosság alapelveivel kell kezdeni.
„Az embereknek óvatosan kell megközelíteniük minden kéretlen kommunikációt, különösen azokat, amelyek cselekvésre szólítják fel a felhasználót, mint például egy melléklet letöltése vagy megnyitása, hivatkozásra kattintás, vagy hitelesítő adatok, például személyes vagy pénzügyi adatok közzététele” – mondja.
Emellett nagyon fontos, hogy mindenki megtanulja és betartsa a jó jelszóhigiéniát minden általa használt szolgáltatásnál, Benishti hozzáteszi: „És ha valaha is értesítést kap arról, hogy az Ön adatait valamilyen jogsértésbe keverhették, állítsa vissza az összes jelszavát minden használt szolgáltatásnál. . Ha nem, akkor a motivált támadók mindenféle adatot és fiókot okos módon korrelálnak, hogy elérjék, amit akarnak.
Ezenkívül az Ironscales rendszeres adathalász-szimulációs tesztelést javasol minden alkalmazott számára, és egy hüvelykujjszabály-készletre hívott fel piros zászlókat, amelyekre keresni kell:
- A felhasználók azonosíthatták volna ezt az adathalász támadást, ha alaposan megnézték a küldőt
- Győződjön meg arról, hogy a küldési cím megegyezik a visszaküldési címmel, és a cím olyan domainről (URL) származik, amely általában megegyezik azzal a vállalkozással, amellyel foglalkoznak.
- Keresse a rossz helyesírást és nyelvtant.
- Vigye az egeret a linkekre, és nézze meg a cél teljes URL-címét/címét, hátha szokatlannak tűnik.
- Mindig legyen nagyon óvatos azokkal a webhelyekkel kapcsolatban, amelyek nem hozzájuk társított hitelesítési adatokat kérnek, például a Microsoft 365 vagy a Google Workspace bejelentkezési adatait.
