Il phishing immobiliare ingoia migliaia di credenziali Microsoft 1,000

Migliaia di credenziali di Microsoft 365 sono state scoperte archiviate in testo non crittografato su server di phishing, come parte di un'insolita campagna mirata di raccolta di credenziali contro professionisti del settore immobiliare. Gli attacchi mostrano il rischio crescente e in evoluzione che presentano le tradizionali combinazioni nome utente-password, affermano i ricercatori, soprattutto perché il phishing continua a diventare sempre più sofisticato, eludendo la sicurezza di base della posta elettronica. 

I ricercatori di Ironscales hanno scoperto l'offensiva, in cui gli aggressori informatici si sono finti dipendenti di due noti fornitori di servizi finanziari nel settore immobiliare: First American Financial Corp. e United Wholesale Mortgage. I criminali informatici stanno utilizzando gli account per inviare e-mail di phishing ad agenti immobiliari, avvocati immobiliari, agenti immobiliari e acquirenti e venditori, hanno detto gli analisti, nel tentativo di indirizzarli verso pagine di accesso di Microsoft 365 contraffatte per acquisire credenziali.

L'avviso e-mail mira a segnalare che i documenti allegati devono essere esaminati o che sono presenti nuovi messaggi ospitati su un server sicuro, secondo un Pubblicazione del 15 settembre sulla campagna di Ironscales. In entrambi i casi, i collegamenti incorporati indirizzano i destinatari alle pagine di accesso false chiedendo loro di accedere a Microsoft 365.

Una volta sulla pagina dannosa, i ricercatori hanno osservato una svolta insolita nel procedimento: gli aggressori hanno cercato di sfruttare al massimo il tempo trascorso con le vittime tentando di estrarre più password da ogni sessione di phishing.

"Ogni tentativo di inviare queste credenziali 365 ha restituito un errore e ha invitato l'utente a riprovare", secondo il resoconto dei ricercatori. "Gli utenti di solito inviano le stesse credenziali almeno un'altra volta prima di provare varianti di altre password che potrebbero aver utilizzato in passato, fornendo una miniera d'oro di credenziali che i criminali possono vendere o utilizzare in attacchi di forza bruta o di credential stuffing per accedere ad account finanziari o di social media popolari.

L'attenzione posta nel prendere di mira le vittime con un piano ben ponderato è uno degli aspetti più notevoli della campagna, dice a Dark Reading Eyal Benishti, fondatore e CEO di Ironscales.

“Questo verrà dopo persone che lavorano nel settore immobiliare (agenti immobiliari, agenti immobiliari, avvocati immobiliari), utilizzando un modello di phishing e-mail che falsifica un marchio molto familiare e un invito all'azione familiare ("rivedi questi documenti sicuri" o "leggi questo messaggio sicuro")", afferma.

Non è chiaro fino a che punto la campagna possa estendersi, ma l'indagine della società ha dimostrato che finora sono state almeno migliaia le persone oggetto di phishing.

"Il numero totale di persone che hanno effettuato phishing non è noto, abbiamo indagato solo su alcuni casi che hanno interessato i nostri clienti", afferma Benishti. "Ma solo dal piccolo campione che abbiamo analizzato, sono stati trovati più di 2,000 set univoci di credenziali in più di 10,000 tentativi di invio (molti utenti hanno fornito le stesse credenziali o credenziali alternative più volte)."

Il rischio per le vittime è elevato: le transazioni legate al settore immobiliare sono spesso oggetto di sofisticate truffe fraudolente, in particolare le transazioni che coinvolgono società di titoli immobiliari.

"Sulla base di tendenze e statistiche, questi aggressori probabilmente vogliono utilizzare le credenziali per poter intercettare/dirigere/reindirizzare i bonifici associati alle transazioni immobiliari", secondo Benishti.

Microsoft Safe Links fallisce nel lavoro

Degno di nota (e sfortunato) in questa particolare campagna è il fatto che un controllo di sicurezza di base apparentemente non è riuscito.

Nel ciclo iniziale di phishing, l'URL su cui è stato chiesto ai target di fare clic non ha cercato di nascondersi, hanno notato i ricercatori: quando si passava il mouse sul collegamento, veniva visualizzato un URL con bandiera rossa: "https://phishingsite.com /folde…[punto]shtm.”

Tuttavia, le ondate successive hanno nascosto l'indirizzo dietro un URL di collegamenti sicuri, una funzionalità presente in Microsoft Defender che dovrebbe eseguire la scansione degli URL per individuare collegamenti dannosi. Safe Link sovrascrive il collegamento con un URL diverso utilizzando una nomenclatura speciale, una volta che il collegamento viene scansionato e ritenuto sicuro.

In questo caso, lo strumento ha solo reso più difficile l’ispezione visiva dell’effettivo messaggio “questo è un phishing!” collegamento e ha inoltre consentito ai messaggi di superare più facilmente i filtri di posta elettronica. Microsoft non ha risposto a una richiesta di commento.

“Safe Links presenta diversi punti deboli noti e generare un falso senso di sicurezza è il punto debole significativo di questa situazione”, afferma Benishti. “Safe Links non ha rilevato alcun rischio o inganno associato al collegamento originale, ma ha riscritto il collegamento come se lo avesse fatto. Gli utenti e molti professionisti della sicurezza acquisiscono un falso senso di sicurezza perché è in atto un controllo di sicurezza, ma questo controllo è in gran parte inefficace”.

Da notare anche: nelle e-mail di United Wholesale Mortgage, il messaggio era anche contrassegnato come "Notifica e-mail sicura", includeva una dichiarazione di non responsabilità sulla riservatezza e mostrava un falso banner "Secured by Proofpoint Encryption".

Ryan Kalember, vicepresidente esecutivo della strategia di sicurezza informatica di Proofpoint, ha affermato che la sua azienda non è estranea a subire il dirottamento del marchio, aggiungendo che l'uso falso del suo nome è in realtà una nota tecnica di attacco informatico che i prodotti dell'azienda scansionano.

È un buon promemoria del fatto che gli utenti non possono fare affidamento sul branding per determinare la veridicità di un messaggio, osserva: "Gli autori delle minacce spesso fingono di essere marchi noti per indurre i loro obiettivi a divulgare informazioni", afferma. "Spesso inoltre si spacciano per noti fornitori di sicurezza per aggiungere legittimità alle loro e-mail di phishing."

Anche i cattivi commettono errori

Nel frattempo, potrebbero non essere solo i phisher OG a trarre vantaggio dalle credenziali rubate.

Durante l'analisi della campagna, i ricercatori hanno individuato nelle e-mail un URL che non avrebbe dovuto essere presente: un percorso che punta a una directory di file del computer. All'interno di quella directory c'erano i guadagni illeciti dei criminali informatici, vale a dire ogni singola combinazione di email e password inviata a quel particolare sito di phishing, conservata in un file di testo in chiaro a cui chiunque avrebbe potuto accedere.

"È stato totalmente un incidente", dice Benishti. "Il risultato di un lavoro trascurato, o più probabilmente di ignoranza se stanno utilizzando un kit di phishing sviluppato da qualcun altro: ce ne sono tonnellate disponibili per l'acquisto sul mercato nero."

I server delle pagine web false (e i file di testo in chiaro) sono stati rapidamente chiusi o rimossi, ma, come ha osservato Benishti, è probabile che il kit di phishing utilizzato dagli aggressori sia responsabile del problema tecnico del testo in chiaro, il che significa che "continueranno a rendere disponibili le loro credenziali rubate". al mondo."

Credenziali rubate e maggiore sofisticatezza alimentano la frenesia del phishing

La campagna mette in prospettiva più in generale l'epidemia di phishing e raccolta di credenziali e cosa significherà per l'autenticazione in futuro, notano i ricercatori.

Darren Guccione, CEO e co-fondatore di Keeper Security, afferma che il phishing continua ad evolversi in termini di livello di sofisticazione, che dovrebbe fungere da Un chiaro avvertimento alle imprese, dato l'elevato livello di rischio.

"I malintenzionati a tutti i livelli stanno adattando le truffe di phishing utilizzando tattiche basate sull'estetica come modelli di email dall'aspetto realistico e siti Web dannosi per attirare le loro vittime, quindi prendere il controllo del loro account modificando le credenziali, che impediscono l'accesso da parte del proprietario valido," dice a Dark Reading. "In un attacco di furto d'identità di un fornitore [come questo], quando i criminali informatici utilizzano credenziali rubate per inviare e-mail di phishing da un indirizzo e-mail legittimo, questa tattica pericolosa è ancora più convincente perché l'e-mail proviene da una fonte familiare."

La maggior parte dei phishing moderni può anche aggirare i gateway di posta elettronica sicuri e persino effettuare spoofing o sovversione fornitori di autenticazione a due fattori (2FA)., aggiunge Monnia Deng, direttrice del marketing di prodotto presso Bolster, mentre l’ingegneria sociale in generale è straordinariamente efficace in un’epoca di cloud, mobilità e lavoro remoto.

"Quando tutti si aspettano che la loro esperienza online sia semplice e veloce, l'errore umano è inevitabile e queste campagne di phishing stanno diventando sempre più intelligenti", afferma. Aggiunge che tre macro-tendenze sono responsabili del numero record di attacchi legati al phishing: “Il passaggio, alimentato dalla pandemia, verso piattaforme digitali per la continuità aziendale, il crescente esercito di script kiddie che possono facilmente acquistare kit di phishing o addirittura acquistare phishing come strumento servizio di abbonamento e l’interdipendenza delle piattaforme tecnologiche che potrebbero creare un attacco alla catena di fornitura da un’e-mail di phishing”.

Pertanto, la realtà è che il Dark Web ospita grandi cache di nomi utente e password rubati; I dump di big data non sono rari e a loro volta stimolano non solo il credential stuffing e gli attacchi di forza bruta, ma anche ulteriori sforzi di phishing.

Ad esempio, è possibile che gli autori delle minacce abbiano utilizzato le informazioni di una recente violazione della First American Financial per compromettere l'account e-mail utilizzato per inviare i phishing; quell'incidente ha portato alla luce 800 milioni di documenti contenenti informazioni personali.

“Le violazioni o le fughe di dati hanno un tempo di dimezzamento più lungo di quanto si pensi”, afferma Benishti. "La prima violazione finanziaria americana è avvenuta nel maggio 2019, ma i dati personali esposti possono essere utilizzati come arma anni dopo."

Per contrastare questo vivace mercato e i profittatori che operano al suo interno, è tempo di guardare oltre la password, aggiunge.

"Le password richiedono una complessità e una frequenza di rotazione sempre maggiori, il che porta a un esaurimento della sicurezza", afferma Benishti. “Molti utenti accettano il rischio di sentirsi insicuri nello sforzo di creare password complesse perché fare la cosa giusta è reso così complicato. L’autenticazione a più fattori aiuta, ma non è una soluzione a prova di proiettile. È necessario un cambiamento fondamentale per verificare che sei chi dici di essere in un mondo digitale e ottenere l’accesso alle risorse di cui hai bisogno”.

Come combattere lo tsunami del phishing

Con la diffusione degli approcci senza password ancora lontani, Kalember di Proofpoint afferma che i principi base della consapevolezza dell'utente sono il punto di partenza per combattere il phishing.

"Le persone dovrebbero avvicinarsi a tutte le comunicazioni non richieste con cautela, in particolare quelle che richiedono all'utente di agire, come scaricare o aprire un allegato, fare clic su un collegamento o rivelare credenziali come informazioni personali o finanziarie", afferma.

Inoltre, è fondamentale che tutti imparino e pratichino una buona igiene delle password in ogni servizio che utilizzano, aggiunge Benishti: "E se mai vieni avvisato che le tue informazioni potrebbero essere state coinvolte in una violazione, reimposta tutte le tue password per ogni servizio che usi." . In caso contrario, gli aggressori motivati ​​trovano modi astuti per correlare tutti i tipi di dati e account per ottenere ciò che vogliono”.

Inoltre, Ironscales raccomanda test regolari di simulazione di phishing per tutti i dipendenti e ha individuato una serie di regole empiriche di segnali di allarme da cercare:

• Gli utenti avrebbero potuto identificare questo attacco di phishing osservando attentamente il mittente
• Assicurati che l'indirizzo di invio corrisponda all'indirizzo di ritorno e che l'indirizzo provenga da un dominio (URL) che solitamente corrisponde all'azienda con cui trattano.
• Cerca errori di ortografia e grammatica.
• Passa il mouse sui collegamenti e osserva l'URL/indirizzo completo della destinazione, verifica se sembra insolito.
• Sii sempre molto cauto nei confronti dei siti che ti chiedono credenziali non associate a loro, come l'accesso a Microsoft 365 o Google Workspace.