Ribuan kredensial Microsoft 365 telah ditemukan disimpan dalam teks biasa di server phishing, sebagai bagian dari kampanye pengumpulan kredensial yang tidak biasa dan ditargetkan terhadap para profesional real estat. Serangan-serangan tersebut menunjukkan risiko yang terus berkembang dan berkembang yang ditimbulkan oleh kombinasi nama pengguna-kata sandi tradisional, kata para peneliti, terutama karena phishing terus berkembang dalam kecanggihan, menghindari keamanan email dasar.
Para peneliti dari Ironscales menemukan serangan tersebut, di mana penyerang siber menyamar sebagai karyawan di dua vendor jasa keuangan terkenal di bidang real estat: First American Financial Corp., dan United Wholesale Mortgage. Para penjahat dunia maya menggunakan akun tersebut untuk mengirimkan email phishing ke agen properti, pengacara real estat, agen kepemilikan, serta pembeli dan penjual, kata para analis, dalam upaya mengarahkan mereka ke halaman login Microsoft 365 palsu untuk menangkap kredensial.
Target peringatan email bahwa dokumen yang dilampirkan perlu ditinjau atau bahwa mereka memiliki pesan baru yang dihosting di server yang aman, menurut a 15 September posting pada kampanye dari Ironscales. Dalam kedua kasus, tautan yang disematkan mengarahkan penerima ke halaman login palsu yang meminta mereka untuk masuk ke Microsoft 365.
Begitu berada di halaman berbahaya, para peneliti mengamati perubahan yang tidak biasa dalam prosesnya: Para penyerang mencoba memanfaatkan waktu mereka sebaik-baiknya dengan para korban dengan mencoba mencari beberapa kata sandi dari setiap sesi phishing.
"Setiap upaya untuk mengirimkan kredensial 365 ini menghasilkan kesalahan dan mendorong pengguna untuk mencoba lagi," menurut 'tulisan para peneliti. โPengguna biasanya akan mengirimkan kredensial yang sama setidaknya sekali lagi sebelum mereka mencoba variasi kata sandi lain yang mungkin pernah mereka gunakan di masa lalu, menyediakan tambang emas kredensial bagi penjahat untuk dijual atau digunakan dalam serangan brute force atau credential-stuffing ke mengakses akun keuangan atau media sosial populer.โ
Kehati-hatian dalam menargetkan korban dengan rencana yang dipikirkan dengan matang adalah salah satu aspek kampanye yang paling menonjol, Eyal Benishti, pendiri dan CEO di Ironscales, mengatakan kepada Dark Reading.
โIni akan menyusul orang yang bekerja di real estate (agen real estate, agen kepemilikan, pengacara real estate), menggunakan template email phishing yang meniru merek yang sangat familiar dan ajakan bertindak yang sudah dikenal ('tinjau dokumen aman ini' atau 'baca pesan aman ini'),โ katanya.
Tidak jelas seberapa jauh kampanye tersebut dapat menyebar, tetapi penyelidikan perusahaan menunjukkan bahwa setidaknya ribuan telah di-phishing sejauh ini.
โJumlah total orang yang terkena phishing tidak diketahui, kami hanya menyelidiki beberapa kasus yang memotong pelanggan kami,โ kata Benishti. โTetapi hanya dari sampel kecil yang kami analisis, ada lebih dari 2,000 set kredensial unik yang ditemukan di lebih dari 10,000 upaya pengiriman (banyak pengguna memberikan kredensial yang sama atau alternatif beberapa kali).โ
Risiko bagi korban tinggi: Transaksi terkait real estat sering menjadi sasaran penipuan penipuan yang canggih, terutama transaksi melibatkan perusahaan pemilik real estate.
โBerdasarkan tren dan statistik, penyerang ini kemungkinan ingin menggunakan kredensial untuk memungkinkan mereka mencegat/mengarahkan/mengalihkan transfer kawat yang terkait dengan transaksi real estat,โ menurut Benishti.
Tautan Aman Microsoft Jatuh di Pekerjaan
Juga penting (dan disayangkan) dalam kampanye khusus ini, kontrol keamanan dasar tampaknya gagal.
Pada putaran awal phishing, URL yang diminta untuk diklik oleh target tidak berusaha menyembunyikan dirinya sendiri, catat para peneliti โ ketika mengarahkan mouse ke tautan, URL yang mengibarkan bendera merah ditampilkan: โhttps://phishingsite.com /foldeโฆ[dot]shtm.โ
Namun, gelombang berikutnya menyembunyikan alamat di balik URL Tautan Aman โ fitur yang ditemukan di Microsoft Defender yang seharusnya memindai URL untuk menangkap tautan berbahaya. Tautan Aman menimpa tautan dengan URL yang berbeda menggunakan nomenklatur khusus, setelah tautan tersebut dipindai dan dianggap aman.
Dalam hal ini, alat ini hanya mempersulit pemeriksaan visual secara langsung "ini adalah phish!" link, dan juga memungkinkan pesan untuk lebih mudah melewati filter email. Microsoft tidak menanggapi permintaan komentar.
โSafe Links memiliki beberapa kelemahan yang diketahui dan menghasilkan rasa aman yang salah adalah kelemahan yang signifikan dalam situasi ini,โ kata Benishti. โTautan Aman tidak mendeteksi risiko atau penipuan apa pun yang terkait dengan tautan asli, tetapi menulis ulang tautan seolah-olah ada. Pengguna dan banyak profesional keamanan mendapatkan rasa aman yang salah karena ada kontrol keamanan, tetapi kontrol ini sebagian besar tidak efektif.โ
Catatan juga: Dalam email United Wholesale Mortgage, pesan tersebut juga ditandai sebagai "Pemberitahuan Email Aman," termasuk penafian kerahasiaan, dan memasang spanduk palsu "Diamankan dengan Enkripsi Bukti".
Ryan Kalember, wakil presiden eksekutif strategi keamanan siber di Proofpoint, mengatakan bahwa perusahaannya tidak asing dengan pembajakan merek, menambahkan bahwa penggunaan nama palsu sebenarnya adalah teknik serangan siber yang diketahui yang dipindai oleh produk perusahaan.
Ini adalah pengingat yang baik bahwa pengguna tidak dapat mengandalkan branding untuk menentukan kebenaran pesan, ia mencatat: โAktor ancaman sering berpura-pura menjadi merek terkenal untuk memikat target mereka agar membocorkan informasi,โ katanya. โMereka juga sering meniru vendor keamanan yang dikenal untuk menambahkan legitimasi ke email phishing mereka.โ
Bahkan Orang Jahat Membuat Kesalahan
Sementara itu, mungkin bukan hanya phisher OG yang mendapat manfaat dari kredensial yang dicuri.
Selama analisis kampanye, peneliti menemukan URL di email yang seharusnya tidak ada di sana: jalur yang mengarah ke direktori file komputer. Di dalam direktori itu ada keuntungan haram para penjahat dunia maya, yaitu, setiap kombo email dan kata sandi yang dikirimkan ke situs phishing tertentu, disimpan dalam file teks-jelas yang dapat diakses siapa saja.
โIni benar-benar kecelakaan,โ kata Benishti. โHasil dari pekerjaan yang ceroboh, atau lebih mungkin ketidaktahuan jika mereka menggunakan kit phishing yang dikembangkan oleh orang lain โ ada banyak sekali yang tersedia untuk dibeli di pasar gelap.โ
Server halaman web palsu (dan file cleartext) dengan cepat dimatikan atau dihapus, tetapi seperti yang dicatat Benishti, kemungkinan kit phishing yang digunakan penyerang bertanggung jawab atas kesalahan cleartext โ yang berarti mereka โakan terus membuat kredensial curian mereka tersedia. ke dunia.โ
Kredensial yang Dicuri, Lebih Banyak Kecanggihan Memicu Phish Frenzy
Kampanye ini secara lebih luas menempatkan ke dalam perspektif epidemi phishing dan pengumpulan kredensial - dan apa artinya otentikasi ke depan, catat para peneliti.
Darren Guccione, CEO dan salah satu pendiri Keeper Security, mengatakan bahwa phishing terus berkembang dalam hal tingkat kecanggihannya, yang seharusnya bertindak sebagai peringatan keras kepada perusahaan, mengingat tingkat risiko yang tinggi.
โAktor jahat di semua tingkatan sedang menyesuaikan penipuan phishing menggunakan taktik berbasis estetika seperti template email yang tampak realistis dan situs web jahat untuk memikat korbannya, kemudian mengambil alih akun mereka dengan mengubah kredensial, yang mencegah akses oleh pemilik yang sah,โ dia memberitahu Dark Reading. โDalam serangan peniruan identitas vendor [seperti ini], ketika penjahat dunia maya menggunakan kredensial curian untuk mengirim email phishing dari alamat email yang sah, taktik berbahaya ini bahkan lebih meyakinkan karena email tersebut berasal dari sumber yang sudah dikenal.โ
Sebagian besar phishing modern juga dapat melewati gateway email yang aman dan bahkan menipu atau menumbangkan vendor otentikasi dua faktor (2FA), tambah Monnia Deng, direktur pemasaran produk di Bolster, sementara rekayasa sosial secara umum sangat efektif di masa cloud, mobilitas, dan kerja jarak jauh.
โKetika semua orang mengharapkan pengalaman online mereka menjadi cepat dan mudah, kesalahan manusia tidak dapat dihindari, dan kampanye phishing ini menjadi lebih pintar,โ katanya. Dia menambahkan bahwa tiga tren makro bertanggung jawab atas rekor jumlah serangan terkait phishing: โPerpindahan yang dipicu pandemi ke platform digital untuk kelangsungan bisnis, pasukan anak-anak skrip yang terus bertambah yang dapat dengan mudah membeli kit phishing atau bahkan membeli phishing sebagai layanan berlangganan, dan saling ketergantungan platform teknologi yang dapat membuat serangan rantai pasokan dari email phishing.โ
Jadi, kenyataannya adalah bahwa Web Gelap menyimpan cache besar nama pengguna dan kata sandi yang dicuri; dump data besar tidak jarang, dan pada gilirannya memacu tidak hanya isian kredensial dan serangan brute force, tetapi juga upaya phishing tambahan.
Misalnya, kemungkinan pelaku ancaman menggunakan informasi dari pelanggaran First American Financial baru-baru ini untuk menyusup ke akun email yang mereka gunakan untuk mengirim phishing; insiden itu mengekspos 800 juta dokumen yang berisi informasi pribadi.
โPelanggaran atau kebocoran data memiliki waktu paruh lebih lama dari yang diperkirakan orang,โ kata Benishti. โPelanggaran Finansial Amerika Pertama terjadi pada Mei 2019, tetapi data pribadi yang diekspos dapat dijadikan senjata untuk digunakan bertahun-tahun setelahnya.โ
Untuk menggagalkan pasar yang ramai ini dan para pencatut yang beroperasi di dalamnya, saatnya untuk melihat melampaui kata sandi, tambahnya.
โKata sandi membutuhkan kompleksitas dan frekuensi rotasi yang semakin meningkat, yang menyebabkan kelelahan keamanan,โ kata Benishti. โBanyak pengguna menerima risiko merasa tidak aman atas upaya untuk membuat kata sandi yang rumit karena melakukan hal yang benar menjadi sangat rumit. Otentikasi multifaktor membantu, tetapi ini bukan solusi antipeluru. Perubahan mendasar diperlukan untuk memverifikasi bahwa Anda adalah siapa yang Anda katakan di dunia digital dan mendapatkan akses ke sumber daya yang Anda butuhkan.โ
Cara Melawan Tsunami Phishing
Dengan pendekatan tanpa kata sandi yang tersebar luas masih jauh, Kalember dari Proofpoint mengatakan bahwa prinsip dasar kesadaran pengguna adalah tempat untuk memulai ketika memerangi phishing.
โOrang harus mendekati semua komunikasi yang tidak diminta dengan hati-hati, terutama yang meminta pengguna untuk bertindak, seperti mengunduh atau membuka lampiran, mengklik tautan, atau mengungkapkan kredensial seperti informasi pribadi atau keuangan,โ katanya.
Selain itu, penting bagi setiap orang untuk mempelajari dan mempraktikkan kebersihan kata sandi yang baik di setiap layanan yang mereka gunakan, Benishti menambahkan: โDan jika Anda pernah diberi tahu bahwa informasi Anda mungkin terlibat dalam pelanggaran, atur ulang semua kata sandi Anda untuk setiap layanan yang Anda gunakan. . Jika tidak, penyerang yang termotivasi memiliki cara cerdas untuk menghubungkan semua jenis data dan akun untuk mendapatkan apa yang mereka inginkan.โ
Selain itu, Ironscales merekomendasikan pengujian simulasi phishing reguler untuk semua karyawan, dan menyerukan serangkaian tanda bahaya yang harus dicari:
- Pengguna dapat mengidentifikasi serangan phishing ini dengan melihat pengirimnya dari dekat
- Pastikan alamat pengirim sesuai dengan alamat pengirim dan alamat dari domain (URL) yang biasanya sesuai dengan bisnis yang mereka tangani.
- Cari ejaan dan tata bahasa yang buruk.
- Arahkan mouse ke tautan dan lihat URL/alamat lengkap tujuan, lihat apakah terlihat tidak biasa.
- Selalu berhati-hati dengan situs yang meminta kredensial Anda yang tidak terkait dengannya, seperti login Microsoft 365 atau Google Workspace.
