Er zijn duizenden Microsoft 365-inloggegevens ontdekt die in leesbare tekst op phishing-servers zijn opgeslagen, als onderdeel van een ongebruikelijke, gerichte campagne voor het verzamelen van inloggegevens tegen vastgoedprofessionals. De aanvallen demonstreren het groeiende, evoluerende risico dat traditionele combinaties van gebruikersnaam en wachtwoord met zich meebrengen, zeggen onderzoekers, vooral omdat phishing steeds geavanceerder wordt en de elementaire e-mailbeveiliging omzeilt.
Onderzoekers van Ironscales ontdekten het offensief, waarbij cyberaanvallers zich voordeden als werknemers bij twee bekende financiële dienstverleners in de vastgoedsector: First American Financial Corp. en United Wholesale Mortgage. De cybercriminelen gebruiken de accounts om phishing-e-mails te sturen naar makelaars, vastgoedadvocaten, titelagenten en kopers en verkopers, zeggen analisten, in een poging hen naar vervalste Microsoft 365-inlogpagina's te sturen voor het vastleggen van inloggegevens.
De e-mails waarschuwen doelwitten dat bijgevoegde documenten moeten worden beoordeeld of dat nieuwe berichten op een beveiligde server worden gehost, aldus een 15 september bericht over de campagne van Ironscales. In beide gevallen leiden ingebedde links ontvangers naar de valse inlogpagina's waarin hen wordt gevraagd zich aan te melden bij Microsoft 365.
Eenmaal op de kwaadaardige pagina merkten onderzoekers een ongebruikelijke wending in de procedure: de aanvallers probeerden het meeste uit hun tijd met de slachtoffers te halen door tijdens elke phishing-sessie meerdere wachtwoorden te ontfutselen.
“Elke poging om deze 365-inloggegevens in te dienen, leverde een fout op en vroeg de gebruiker het opnieuw te proberen”, aldus het artikel van de onderzoekers. “Gebruikers zullen dezelfde inloggegevens doorgaans nog minstens één keer invoeren voordat ze variaties proberen op andere wachtwoorden die ze in het verleden mogelijk hebben gebruikt. Dit levert een goudmijn aan inloggegevens op die criminelen kunnen verkopen of gebruiken bij aanvallen met brute kracht of het opvullen van inloggegevens. toegang krijgen tot populaire financiële of sociale media-accounts.”
De zorg die wordt besteed aan het targeten van slachtoffers met een goed doordacht plan is een van de meest opvallende aspecten van de campagne, vertelt Eyal Benishti, oprichter en CEO van Ironscales, aan Dark Reading.
“Dit gaat erna mensen die in de vastgoedsector werken (makelaars in onroerend goed, vastgoedmakelaars, vastgoedadvocaten), met behulp van een e-mailphishing-sjabloon die een zeer bekend merk en een bekende call-to-action nabootst ('bekijk deze beveiligde documenten' of 'lees dit beveiligde bericht')”, zegt hij.
Het is onduidelijk hoe ver de campagne zich kan uitstrekken, maar uit het onderzoek van het bedrijf blijkt dat er tot nu toe minstens duizenden zijn gephishing.
“Het totale aantal phishing-aanvallen is onbekend. We hebben slechts enkele gevallen onderzocht waarbij onze klanten betrokken waren”, zegt Benishti. “Maar alleen al uit de kleine steekproef die we hebben geanalyseerd, zijn er meer dan 2,000 unieke sets met inloggegevens gevonden in meer dan 10,000 inzendingspogingen (veel gebruikers hebben meerdere keren dezelfde of alternatieve inloggegevens opgegeven).”
Het risico voor de slachtoffers is groot: vastgoedgerelateerde transacties zijn vaak het doelwit van geavanceerde oplichtingsfraude, vooral transacties waarbij vastgoedbedrijven betrokken zijn.
“Op basis van trends en statistieken willen deze aanvallers de inloggegevens waarschijnlijk gebruiken om overboekingen die verband houden met vastgoedtransacties te onderscheppen/direct/omleiden”, aldus Benishti.
Microsoft Safe Links faalt tijdens het werk
Ook opmerkelijk (en ongelukkig) in deze specifieke campagne was dat een basisveiligheidscontrole blijkbaar mislukte.
In de eerste ronde van phishing probeerde de URL waarop de doelen moesten klikken zich niet te verbergen, merkten onderzoekers op: wanneer de muis over de link ging, werd een met een rode vlag zwaaiende URL weergegeven: “https://phishingsite.com /folde…[punt]shtm.”
Bij daaropvolgende golven werd het adres echter verborgen achter een Safe Links-URL, een functie in Microsoft Defender die URL's zou moeten scannen om kwaadaardige links op te sporen. Safe Link overschrijft de link met een andere URL met behulp van een speciale nomenclatuur, zodra die link is gescand en als veilig wordt beschouwd.
In dit geval maakte de tool het alleen maar moeilijker om de daadwerkelijke ‘dit is een phish!’ visueel te inspecteren. link, en zorgde er ook voor dat de berichten gemakkelijker voorbij e-mailfilters konden komen. Microsoft heeft niet gereageerd op een verzoek om commentaar.
“Safe Links heeft een aantal bekende zwakke punten en het genereren van een vals gevoel van veiligheid is de belangrijkste zwakte in deze situatie”, zegt Benishti. “Safe Links heeft geen enkel risico of bedrog ontdekt dat verband hield met de oorspronkelijke link, maar herschreef de link alsof deze wel aanwezig was. Gebruikers en veel beveiligingsprofessionals krijgen een vals gevoel van veiligheid omdat er een beveiligingscontrole is, maar deze controle is grotendeels ineffectief.”
Ook opmerkelijk: in de e-mails van United Wholesale Mortgage werd het bericht ook gemarkeerd als een ‘Beveiligde e-mailmelding’, bevatte het een disclaimer over vertrouwelijkheid en droeg het een nepbanner ‘Beveiligd door Proofpoint Encryption’.
Ryan Kalember, executive vice-president van cybersecuritystrategie bij Proofpoint, zei dat het voor zijn bedrijf geen onbekende is dat het merk wordt gekaapt, en voegde eraan toe dat nepgebruik van de naam in feite een bekende cyberaanvaltechniek is waar de producten van het bedrijf naar zoeken.
Het herinnert ons er goed aan dat gebruikers er niet op kunnen vertrouwen dat branding de waarheidsgetrouwheid van een bericht bepaalt, merkt hij op: "Dreigingsactoren doen zich vaak voor als bekende merken om hun doelwitten te verleiden informatie vrij te geven", zegt hij. “Ze doen zich ook vaak voor als bekende beveiligingsleveranciers om legitimiteit aan hun phishing-e-mails toe te voegen.”
Zelfs slechteriken maken fouten
Ondertussen zijn het misschien niet alleen de OG-phishers die profiteren van de gestolen inloggegevens.
Tijdens de analyse van de campagne ontdekten onderzoekers een URL in de e-mails die er niet had mogen zijn: een pad dat verwijst naar een computerbestandsmap. In die map bevonden zich de onrechtmatig verkregen winsten van de cybercriminelen, dat wil zeggen dat elke afzonderlijke combinatie van e-mail en wachtwoord die op die specifieke phishing-site werd ingediend, in een leesbare tekstbestand werd bewaard waartoe iedereen toegang had kunnen krijgen.
“Dit was totaal een ongeluk”, zegt Benishti. “Het resultaat van slordig werk, of waarschijnlijker onwetendheid als ze een phishing-kit gebruiken die door iemand anders is ontwikkeld – er zijn er talloze te koop op de zwarte markt.”
De valse webpaginaservers (en cleartext-bestanden) werden snel afgesloten of verwijderd, maar zoals Benishti opmerkte, is het waarschijnlijk dat de phishing-kit die de aanvallers gebruiken verantwoordelijk is voor de cleartext-glitch – wat betekent dat ze “hun gestolen inloggegevens beschikbaar zullen blijven stellen. naar de wereld."
Gestolen inloggegevens en meer verfijning zorgen voor phish-razernij
De campagne plaatst de epidemie van phishing en het verzamelen van inloggegevens breder in perspectief – en wat dit betekent voor de toekomstige authenticatie, merken onderzoekers op.
Darren Guccione, CEO en mede-oprichter van Keeper Security, zegt dat phishing blijft evolueren in termen van verfijningsniveau, dat zou moeten fungeren als een waarschuwing aan bedrijven, gezien het verhoogde risiconiveau.
“Slechte actoren op alle niveaus passen phishing-fraude aan met behulp van esthetische tactieken, zoals realistisch ogende e-mailsjablonen en kwaadaardige websites, om hun slachtoffers te lokken en vervolgens hun account over te nemen door de inloggegevens te wijzigen, waardoor toegang voor de geldige eigenaar wordt verhinderd.” vertelt hij aan Dark Reading. “Bij een aanval waarbij de identiteit van een leverancier wordt nagebootst, waarbij cybercriminelen gestolen inloggegevens gebruiken om phishing-e-mails vanaf een legitiem e-mailadres te verzenden, is deze gevaarlijke tactiek zelfs nog overtuigender omdat de e-mail afkomstig is van een bekende bron.”
De meeste moderne phishing-aanvallen kunnen ook beveiligde e-mailgateways omzeilen en zelfs spoofen of ondermijnen leveranciers van tweefactorauthenticatie (2FA)., voegt Monnia Deng, directeur productmarketing bij Bolster, toe, terwijl social engineering in het algemeen buitengewoon effectief is in een tijd van cloud, mobiliteit en werken op afstand.
“Als iedereen verwacht dat zijn online-ervaring snel en gemakkelijk zal zijn, zijn menselijke fouten onvermijdelijk en worden deze phishing-campagnes steeds slimmer”, zegt ze. Ze voegt eraan toe dat drie macrotrends verantwoordelijk zijn voor de recordaantallen aan phishing-gerelateerde aanvallen: “De door de pandemie veroorzaakte overstap naar digitale platforms voor bedrijfscontinuïteit, het groeiende leger van scriptkiddies die gemakkelijk phishing-kits kunnen kopen of zelfs phishing als beloning kunnen kopen. abonnementsdiensten en de onderlinge afhankelijkheid van technologieplatforms die een supply chain-aanval kunnen veroorzaken vanuit een phishing-e-mail.”
De realiteit is dus dat het Dark Web grote caches met gestolen gebruikersnamen en wachtwoorden host; Big data-dumps zijn niet ongewoon en leiden op hun beurt niet alleen tot het opvullen van credentials en brute force-aanvallen, maar ook tot extra phishing-inspanningen.
Het is bijvoorbeeld mogelijk dat bedreigingsactoren informatie uit een recente First American Financial-inbraak hebben gebruikt om het e-mailaccount te compromitteren dat ze hebben gebruikt om de phishing-berichten te verzenden; bij dat incident kwamen 800 miljoen documenten met persoonlijke informatie aan het licht.
“Datalekken of datalekken hebben een langere halfwaardetijd dan mensen denken”, zegt Benishti. “De eerste Amerikaanse financiële inbreuk vond plaats in mei 2019, maar de blootgestelde persoonlijke gegevens kunnen jaren later als wapen worden gebruikt.”
Om deze bruisende markt en de profiteurs die daarin opereren te dwarsbomen, is het tijd om verder te kijken dan het wachtwoord, voegt hij eraan toe.
“Wachtwoorden vereisen een steeds grotere complexiteit en rotatiefrequentie, wat leidt tot een burn-out op het gebied van de beveiliging”, zegt Benishti. “Veel gebruikers accepteren het risico onzeker te zijn over de moeite om complexe wachtwoorden te maken, omdat het juiste doen zo complex wordt gemaakt. Multifactor-authenticatie helpt, maar het is geen kogelvrije oplossing. Er is een fundamentele verandering nodig om te verifiëren dat je bent wie je zegt dat je bent in een digitale wereld en om toegang te krijgen tot de middelen die je nodig hebt.”
Hoe de phishing-tsunami te bestrijden
Nu wijdverspreide wachtwoordloze benaderingen nog ver weg zijn, zegt Kalember van Proofpoint dat de fundamentele principes van gebruikersbewustzijn het startpunt zijn bij het bestrijden van phishing.
“Mensen moeten alle ongevraagde communicatie met voorzichtigheid benaderen, vooral als deze de gebruiker om actie vraagt, zoals het downloaden of openen van een bijlage, het klikken op een link of het vrijgeven van inloggegevens zoals persoonlijke of financiële informatie”, zegt hij.
Het is ook van cruciaal belang dat iedereen een goede wachtwoordhygiëne leert en toepast bij elke dienst die ze gebruiken, voegt Benishti toe: “En als je ooit een melding krijgt dat je gegevens mogelijk betrokken zijn geweest bij een inbreuk, reset dan al je wachtwoorden voor elke dienst die je gebruikt. . Als dat niet het geval is, hebben gemotiveerde aanvallers slimme manieren om allerlei soorten gegevens en accounts met elkaar in verband te brengen om te krijgen wat ze willen.’
Daarnaast beveelt Ironscales aan om alle werknemers regelmatig phishing-simulatietests te laten uitvoeren, en heeft het een aantal vuistregels opgesteld waar u op moet letten:
- Gebruikers hadden deze phishing-aanval kunnen identificeren door goed naar de afzender te kijken
- Zorg ervoor dat het verzendadres overeenkomt met het retouradres en dat het adres afkomstig is van een domein (URL) dat gewoonlijk overeenkomt met het bedrijf waarmee ze te maken hebben.
- Let op slechte spelling en grammatica.
- Beweeg de muis over de links en bekijk de volledige URL/het volledige adres van de bestemming, kijk of deze er ongebruikelijk uitziet.
- Wees altijd zeer voorzichtig met sites die u om inloggegevens vragen die niet aan deze sites zijn gekoppeld, zoals inloggen bij Microsoft 365 of Google Workspace.
