אלפי אישורים של Microsoft 365 התגלו המאוחסנים בטקסט רגיל בשרתי דיוג, כחלק ממסע פרסום יוצא דופן וממוקד לאיסוף אישורים נגד אנשי מקצוע בתחום הנדל"ן. ההתקפות מציגות את הסיכון ההולך וגובר ומתפתח ששילובים מסורתיים של שם משתמש וסיסמה מציגים, אומרים החוקרים, במיוחד כשהדיוג ממשיך לגדול בתחכום, תוך התחמקות מאבטחת דוא"ל בסיסית.
חוקרים מ-Ironscales גילו את המתקפה, שבה התחזו תוקפי סייבר כשכירים אצל שני ספקי שירותים פיננסיים ידועים בתחום הנדל"ן: First American Financial Corp. ו-United Wholesale Mortgage. נוכלי הסייבר משתמשים בחשבונות כדי לשלוח דוא"ל פישינג למתווכים, עורכי דין נדל"ן, סוכני בעלות, קונים ומוכרים, אמרו אנליסטים, בניסיון להפנות אותם לדפי התחברות מזויפים של Microsoft 365 לצורך קבלת אישורים.
הודעות האימייל מתריעות על יעדים שצריכים לבדוק מסמכים מצורפים או שיש להם הודעות חדשות שמתארחות בשרת מאובטח, על פי פרסום 15 בספטמבר על הקמפיין מ-Ironscales. בשני המקרים, קישורים מוטבעים מפנים את הנמענים לדפי הכניסה המזויפים ומבקשים מהם להיכנס ל-Microsoft 365.
פעם אחת על הדף הזדוני, החוקרים הבחינו בפיתול יוצא דופן בהליכים: התוקפים ניסו להפיק את המרב מזמנם עם הקורבנות על ידי ניסיון להקניט סיסמאות מרובות מכל סשן פישינג.
"כל ניסיון להגיש את אישורי ה-365 האלה החזיר שגיאה והנחה את המשתמש לנסות שוב", לפי כתבת החוקרים. "משתמשים בדרך כלל ישלחו את אותם אישורים לפחות פעם נוספת לפני שהם מנסים וריאציות של סיסמאות אחרות שהם אולי השתמשו בהם בעבר, מה שמספק מכרה זהב של אישורים לפושעים למכור או להשתמש בהם בהתקפות גסות או מילוי אישורים. גישה לחשבונות פיננסיים או מדיה חברתית פופולריים."
ההקפדה על מיקוד הקורבנות עם תוכנית מחושבת היטב היא אחד ההיבטים הבולטים של הקמפיין, אומר אייל בנישתי, מייסד ומנכ"ל ב-Ironscales, ל-Dark Reading.
"זה הולך אחרי אנשים שעובדים בנדל"ן (סוכני נדל"ן, סוכני בעלות, עורכי דין בתחום הנדל"ן), תוך שימוש בתבנית דיוג בדוא"ל שמזייף מותג מאוד מוכר וקריאה לפעולה מוכרת ('עיין במסמכים המאובטחים האלה' או 'קרא את ההודעה המאובטחת הזו')", הוא אומר.
לא ברור עד כמה הקמפיין עשוי להתפשט, אך חקירת החברה הראתה שלפחות אלפים בוצעו דיוג עד כה.
"המספר הכולל של אנשים שדייגו אינו ידוע, חקרנו רק כמה מקרים שהצטרפו ללקוחות שלנו", אומר בנישתי. "אבל רק מהדגימה הקטנה שניתחנו, נמצאו יותר מ-2,000 קבוצות ייחודיות של אישורים ביותר מ-10,000 ניסיונות הגשה (משתמשים רבים סיפקו את אותם אישורים או חלופיים מספר פעמים)."
הסיכון לקורבנות גבוה: עסקאות הקשורות לנדל"ן מכוונות לרוב להונאות מתוחכמות, במיוחד עסקאות מעורבות חברות בעלות נדל"ן.
"בהתבסס על מגמות וסטטיסטיקות, כנראה שתוקפים אלה רוצים להשתמש באישורים כדי לאפשר להם ליירט/לנתב/להפנות העברות בנקאיות הקשורות לעסקאות נדל"ן", לדברי בנישטי.
קישורים בטוחים של מיקרוסופט נופלים על העבודה
גם בולט (וחבל) בקמפיין הספציפי הזה, בקרת אבטחה בסיסית כנראה נכשלה.
בסבב הראשוני של הדיוג, כתובת האתר שעליה התבקשו מטרות ללחוץ לא ניסתה להסתיר את עצמה, ציינו חוקרים - כאשר העבירו את העכבר מעל הקישור, הוצגה כתובת אתר עם דגל אדום: "https://phishingsite.com /folde…[נקודה]shtm."
עם זאת, גלים שלאחר מכן הסתירו את הכתובת מאחורי כתובת אתר של Safe Links - תכונה שנמצאת ב-Microsoft Defender שאמורה לסרוק כתובות URL כדי לאסוף קישורים זדוניים. קישור בטוח מחליף את הקישור בכתובת URL אחרת באמצעות מינוח מיוחד, לאחר שהקישור הזה נסרק ונחשב בטוח.
במקרה זה, הכלי רק מקשה על בדיקה ויזואלית של ה"זהו פיש!" קישור, וגם אפשרו להודעות לעבור ביתר קלות מסנני דוא"ל. מיקרוסופט לא הגיבה לבקשת תגובה.
"ל-Safe Links יש כמה חולשות ידועות ויצירת תחושת ביטחון מזויפת היא החולשה המשמעותית במצב הזה", אומר בנישתי. "קישורים בטוחים לא זיהו סיכונים או הונאה הקשורים לקישור המקורי, אלא כתבו מחדש את הקישור כאילו כן. משתמשים ואנשי מקצוע רבים בתחום האבטחה זוכים לתחושת ביטחון מזויפת בגלל בקרת אבטחה במקום, אבל בקרה זו אינה יעילה במידה רבה."
יש לציין גם: באימיילים של United Wholesale Mortgage, ההודעה סומנה גם כ"הודעת דוא"ל מאובטחת", כללה כתב ויתור על סודיות, והופיעה באנר מזויף "מובטח באמצעות הצפנת הוכחה".
ריאן קלמבר, סגן נשיא בכיר לאסטרטגיית אבטחת סייבר ב-Proofpoint, אמר שהחברה שלו לא זרה לחטיפת מותגים, והוסיף ששימוש מזויף בשמה הוא למעשה טכניקת מתקפת סייבר ידועה שמוצרי החברה סורקים אחריה.
זוהי תזכורת טובה לכך שמשתמשים לא יכולים להסתמך על מיתוג כדי לקבוע את אמיתות המסר, הוא מציין: "שחקני איום מעמידים פנים לעתים קרובות שהם מותגים ידועים כדי לפתות את המטרות שלהם לחשוף מידע", הוא אומר. "הם גם מתחזים לספקי אבטחה ידועים כדי להוסיף לגיטימציה למיילים התחזות שלהם."
אפילו הרעים עושים טעויות
בינתיים, אולי לא רק הדיוגים של OG נהנים מהאישורים הגנובים.
במהלך ניתוח הקמפיין, החוקרים קלטו כתובת URL במיילים שלא הייתה צריכה להיות שם: נתיב שמפנה אל ספריית קבצי מחשב. בתוך הספרייה ההיא היו הרווחים שהושגו בצורה לא נכונה של פושעי הסייבר, כלומר, כל שילוב דוא"ל וסיסמה שנשלח לאתר התחזות המסוים, נשמר בקובץ טקסט ברור שכל אחד יכול היה לגשת אליו.
"זו הייתה לגמרי תאונה", אומר בנישתי. "התוצאה של עבודה מרושלת, או יותר סביר לבורות אם הם משתמשים בערכת דיוג שפותחה על ידי מישהו אחר - יש המון מהם זמינים לרכישה בשוק השחור."
שרתי דפי האינטרנט המזויפים (וקובצי הטקסט הבהיר) נסגרו במהירות או הוסרו, אך כפי שציין בנישתי, סביר להניח שערכת הדיוג שבה משתמשים התוקפים אחראית לתקלת הטקסט הבהיר - מה שאומר שהם "ימשיכו להפוך את האישורים הגנובים שלהם לזמינים לעולם."
אישורים גנובים, יותר תחכום גורם לטירוף פיש
הקמפיין מציב בפרספקטיבה רחבה יותר את מגיפת הדיוג וקצירת אישורים - ומה המשמעות של האימות בעתיד, מציינים החוקרים.
דארן גוצ'יון, מנכ"ל ומייסד שותף ב-Keeper Security, אומר שהדיוג ממשיך להתפתח מבחינת רמת התחכום שלו, שאמורה לפעול כ אזהרת קלריון לארגונים, בהתחשב ברמת הסיכון המוגברת.
"שחקנים רעים בכל הרמות מתאימים הונאות דיוג תוך שימוש בטקטיקות מבוססות אסתטיקה כמו תבניות דוא"ל בעלות מראה מציאותי ואתרים זדוניים כדי לפתות את הקורבנות שלהם, ואז משתלטים על החשבון שלהם על ידי שינוי האישורים, מה שמונע גישה מהבעלים החוקי." הוא אומר ל- Dark Reading. "בהתקפת התחזות של ספקים [כמו זו], כאשר פושעי סייבר משתמשים באישורים גנובים כדי לשלוח מיילים דיוגים מכתובת דוא"ל לגיטימית, הטקטיקה המסוכנת הזו משכנעת אפילו יותר מכיוון שהמייל מגיע ממקור מוכר."
רוב הדיוגים המודרניים יכולים גם לעקוף שערי דוא"ל מאובטחים ואפילו לזייף או לחתור ספקי אימות דו-גורמי (2FA)., מוסיפה מוניה דנג, מנהלת שיווק מוצרים בבולסטר, בעוד שהנדסה חברתית באופן כללי יעילה בצורה יוצאת דופן בתקופה של ענן, ניידות ועבודה מרחוק.
"כשכולם מצפים שהחוויה המקוונת שלהם תהיה מהירה וקלה, טעות אנוש היא בלתי נמנעת, וקמפיינים הדיוגים האלה נעשים חכמים יותר", היא אומרת. היא מוסיפה כי שלוש מגמות מאקרו אחראיות למספרי השיא של התקפות דיוג: "המעבר המונע על ידי מגיפה לפלטפורמות דיגיטליות להמשכיות עסקית, הצבא ההולך וגדל של ילדי סקריפט שיכולים לרכוש בקלות ערכות דיוג או אפילו לקנות דיוג כ שירות מנוי, והתלות ההדדית של פלטפורמות טכנולוגיות שעלולות ליצור מתקפת שרשרת אספקה ממייל דיוג".
לפיכך, המציאות היא שהרשת האפלה מארח מטמונים גדולים של שמות משתמש וסיסמאות גנובים; השלכות ביג דאטה אינן נדירות, והן מעודדות לא רק מילוי אישורים והתקפות של כוח גס, אלא גם מאמצי פישינג נוספים.
לדוגמה, ייתכן ששחקני איומים השתמשו במידע מהפרה שבוצעה לאחרונה ב-First American Financial כדי לסכן את חשבון הדוא"ל שבו השתמשו כדי לשלוח את התחזות; האירוע הזה חשף 800 מיליון מסמכים המכילים מידע אישי.
"לפריצות נתונים או דליפות יש זמן מחצית חיים ארוך יותר ממה שאנשים חושבים", אומר בנישתי. "ההפרה הפיננסית הראשונה של אמריקה התרחשה במאי 2019, אבל ניתן להשתמש בנתונים האישיים שנחשפו בנשק שנים לאחר מכן."
כדי לסכל את השוק השוקק הזה ואת המרוויחים שפועלים בתוכו, הגיע הזמן להסתכל מעבר לסיסמה, הוא מוסיף.
"סיסמאות דורשות יותר ויותר מורכבות ותדירות סיבוב, מה שמוביל לשחיקה באבטחה", אומר בנישתי. "משתמשים רבים מקבלים את הסיכון של חוסר ביטחון במאמץ ליצור סיסמאות מורכבות מכיוון שעשייה נכונה מורכבת כל כך. אימות רב-גורמי עוזר, אבל זה לא פתרון חסין כדורים. נדרש שינוי מהותי כדי לוודא שאתה מי שאתה אומר שאתה בעולם דיגיטלי ולקבל גישה למשאבים שאתה צריך".
כיצד להילחם בצונאמי הדיוג
עם גישות נפוצות ללא סיסמה שעדיין רחוקות, Kalember של Proofpoint אומר שהעקרונות הבסיסיים של מודעות המשתמש הם המקום להתחיל במלחמה בהתחזות.
"אנשים צריכים לגשת בזהירות לכל הודעות לא רצויות, במיוחד אלה שמבקשות מהמשתמש לפעול, כמו הורדה או פתיחת קובץ מצורף, לחיצה על קישור או חשיפת אישורים כגון מידע אישי או פיננסי", הוא אומר.
כמו כן, זה קריטי שכולם ילמדו ויתרגל היגיינת סיסמאות טובה בכל שירות שהם משתמשים בהם, בנישתי מוסיף: "ואם אי פעם קיבלת הודעה שייתכן שהמידע שלך היה מעורב בפרצה, עבור לאפס את כל הסיסמאות שלך עבור כל שירות שבו אתה משתמש . אם לא, לתוקפים בעלי מוטיבציה יש דרכים נבונות לקשר בין כל מיני נתונים וחשבונות כדי להשיג את מה שהם רוצים".
בנוסף, Ironscales ממליצה על בדיקות סימולציית דיוג קבועות לכל העובדים, וקראה סט כללי אצבע של דגלים אדומים שצריך לחפש:
- משתמשים יכלו לזהות את מתקפת ההתחזות על ידי הסתכלות מקרוב על השולח
- ודא שכתובת השליחה תואמת לכתובת ההחזרה והכתובת היא מדומיין (URL) שבדרך כלל תואם את העסק איתו הם עוסקים.
- חפש איות ודקדוק גרועים.
- העבר את העכבר מעל לקישורים והסתכל בכתובת ה-URL/כתובת המלאה של היעד, תראה אם זה נראה יוצא דופן.
- היזהר תמיד מאתרים שמבקשים ממך אישורים שאינם משויכים אליהם, כמו התחברות של Microsoft 365 או Google Workspace.
