משוכלל ודי יוצא דופן קמפיין דיוג הוא מזייף הודעות eFax ומשתמש בחשבון עסקי Dynamics 365 Customer Voice שנפגע כדי לפתות קורבנות לוותר על האישורים שלהם דרך דפי microsoft.com.
שחקני איום פגעו בעשרות חברות באמצעות הקמפיין המופץ באופן נרחב, כלומר מכוון ל- Microsoft 365 משתמשים ממגוון רחב של מגזרים - כולל אנרגיה, שירותים פיננסיים, נדל"ן מסחרי, מזון, ייצור ואפילו ייצור רהיטים, חשפו חוקרים ממרכז ההגנה על דיוג Cofense (PDC) בפוסט בבלוג שפורסם ביום רביעי.
הקמפיין משתמש בשילוב של טקטיקות נפוצות ויוצאות דופן כדי לפתות משתמשים ללחוץ על עמוד שנראה כי הוא מוביל אותם לסקר משוב לקוחות עבור שירות eFax, אך במקום זאת גונב את האישורים שלהם.
תוקפים מתחזים לא רק ל-eFax אלא גם למיקרוסופט על ידי שימוש בתוכן המתארח במספר דפי microsoft.com במספר שלבים של המאמץ הרב-שלבי. ההונאה היא אחת ממספר קמפיינים דיוגים ש-Cofense צפתה בהם מאז האביב המשתמשים בטקטיקה דומה, אומר ג'וזף גאלופ, מנהל ניתוח מודיעין ב-Cofense.
"באפריל השנה, התחלנו לראות כמות משמעותית של הודעות דיוג באמצעות קישורי סקר ncv[.]microsoft[.]com משובצים מהסוג המשמש בקמפיין הזה", הוא אומר ל-Dark Reading.
שילוב של טקטיקה
המיילים הדיוגים משתמשים בפיתוי קונבנציונלי, בטענה שהנמען קיבל eFax של 10 עמודים ארגוניים הדורשים את תשומת ליבו. אבל הדברים חורגים מהדרך המקובלת לאחר מכן, הסביר נתנאל סגיבנדה מ-Cofense PDC ב- פוסט של יום רביעי.
סביר להניח שהנמען יפתח את ההודעה בציפייה שהיא קשורה למסמך שצריך חתימה. "עם זאת, זה לא מה שאנחנו רואים כשאתה קורא את גוף ההודעה", כתב.
במקום זאת, האימייל כולל מה שנראה כמו קובץ PDF מצורף ללא שם, שנמסר מפקס שאכן כולל קובץ ממשי - תכונה יוצאת דופן של דוא"ל דיוג, לפי Gallop.
"בעוד שהרבה מסעות פרסום של פישינג משתמשים בקישורים לקבצים מתארחים, וחלקם משתמשים בקבצים מצורפים, פחות נפוץ לראות קישור מוטבע שמתחזה לקובץ מצורף", כתב.
העלילה מתעבה עוד יותר למטה בהודעה, שמכילה כותרת תחתונה המציינת שזהו אתר סקרים - כמו אלה המשמשים למתן משוב ללקוחות - שיצר את ההודעה, לפי הפוסט.
חיקוי סקר לקוחות
כאשר משתמשים לוחצים על הקישור, הם מופנים לחיקוי משכנע של דף פתרון eFax המוצג על ידי דף Microsoft Dynamics 365 שנפגע על ידי תוקפים, אמרו חוקרים.
דף זה כולל קישור לדף אחר, שנראה כי מוביל לסקר של Microsoft Customer Voice כדי לספק משוב על שירות ה-eFax, אך במקום זאת מעביר את הקורבנות לדף התחברות של מיקרוסופט שמוציא את האישורים שלהם.
כדי לשפר עוד יותר את הלגיטימציה בדף זה, שחקן האיום הרחיק לכת והטמיע סרטון של פתרונות eFax עבור פרטי שירות מזויפים, והורה למשתמש ליצור קשר עם "@eFaxdynamic365" בכל שאלה, אמרו החוקרים.
כפתור "שלח" בתחתית העמוד משמש גם כאישור נוסף לכך ששחקן האיום השתמש בתבנית משוב אמיתית של Microsoft Customer Voice בהונאה, הם הוסיפו.
לאחר מכן, התוקפים שינו את התבנית עם "מידע מזויף eFax כדי לפתות את הנמען ללחוץ על הקישור", מה שמוביל לעמוד התחברות מזויף של מיקרוסופט ששולח את האישורים שלהם לכתובת URL חיצונית שמתארחת על ידי תוקפים, כתב Sagibanda.
מטעה עין מאומנת
בעוד שהקמפיינים המקוריים היו הרבה יותר פשוטים - כולל מידע מינימלי בלבד המתארח בסקר של מיקרוסופט - מסע הפרסום של זיוף eFax הולך רחוק יותר כדי לחזק את הלגיטימיות של הקמפיין, אומר Gallop.
השילוב של טקטיקות רב-שלביות והתחזות כפולה עשוי לאפשר להודעות לחמוק דרך שערי דוא"ל מאובטחים, כמו גם לשטות אפילו במשתמשים הארגוניים המבינים ביותר שהוכשרו לזהות הונאות דיוג, הוא מציין.
"רק המשתמשים שימשיכו לבדוק את סרגל ה-URL בכל שלב לאורך התהליך כולו יהיו בטוחים שיזהו זאת כניסיון דיוג", אומר Gallop.
ואכן, סקר של חברת אבטחת הסייבר Vade שפורסם גם ביום רביעי מצא את זה התחזות למותג ממשיך להיות הכלי המוביל שבו משתמשים דיוגים כדי לשכנע קורבנות ללחוץ על הודעות דוא"ל זדוניות.
למעשה, התוקפים קיבלו את הדמות של מיקרוסופט לרוב בקמפיינים שנצפו במחצית הראשונה של 2022, מצאו חוקרים, אם כי פייסבוק נותרה המותג המתחזה ביותר בקמפיינים דיוגים שנצפו עד כה השנה.
משחק דיוג נשאר חזק
חוקרים בשלב זה לא זיהו מי עשוי לעמוד מאחורי ההונאה, וגם לא את המניעים הספציפיים של התוקפים לגניבת אישורים, אומר גאלופ.
דיוג בסך הכל נותרה אחת הדרכים הקלות והנפוצות ביותר עבור גורמי איומים להתפשר על קורבנות, לא רק לגנוב אישורים אלא גם להפיץ תוכנות זדוניות, שכן תוכנות זדוניות הנישאות בדוא"ל קלות משמעותית להפצה מאשר התקפות מרוחקות, על פי דוח Vade. .
ואכן, סוג זה של התקפה ראה עליות מחודש לחודש במהלך הרבעון השני של השנה ולאחר מכן דחיפה נוספת ביוני שדחפה את "אימיילים בחזרה לנפחים המדאיגים שלא נראו מאז ינואר 2022", כאשר וייד ראה למעלה מ-100 פלוס מיליון הודעות דיוג בהפצה.
"הקלות היחסית שבה האקרים יכולים להעביר התקפות סייבר מענישות באמצעות דוא"ל הופכת את הדוא"ל לאחד מהווקטורים המובילים להתקפה ולאיום מתמיד עבור עסקים ומשתמשי קצה", כתבה נטלי פטיטו של וייד בדו"ח. "מיילים דיוגים מתחזים למותגים שאתה בוטח בהם ביותר, ומציעים רשת רחבה של קורבנות פוטנציאליים ומעטה של לגיטימציה עבור הדיוגים המתחזות למותגים."
