Tusenvis av Microsoft 365-legitimasjon har blitt oppdaget lagret i klartekst på phishing-servere, som en del av en uvanlig, målrettet legitimasjonsinnsamlingskampanje mot eiendomsmeglere. Angrepene viser den økende, utviklende risikoen som tradisjonelle brukernavn-passord-kombinasjoner presenterer, sier forskere, spesielt ettersom phishing fortsetter å vokse i sofistikering, og unngår grunnleggende e-postsikkerhet.
Forskere fra Ironscales oppdaget offensiven, der nettangripere poserte som ansatte hos to kjente leverandører av finansielle tjenester i eiendomsområdet: First American Financial Corp. og United Wholesale Mortgage. Cyberskurkene bruker kontoene til å sende ut phishing-e-poster til eiendomsmeglere, eiendomsadvokater, tittelagenter og kjøpere og selgere, sa analytikere, i et forsøk på å styre dem til falske Microsoft 365-påloggingssider for å registrere legitimasjon.
E-postmeldingene varsler målrettet mot at vedlagte dokumenter måtte gjennomgås eller at de har nye meldinger på en sikker server, ifølge en 15. september oppslag på kampanjen fra Ironscales. I begge tilfeller leder innebygde lenker mottakere til de falske påloggingssidene som ber dem logge på Microsoft 365.
En gang på den ondsinnede siden, observerte forskere en uvanlig vri i saksgangen: Angriperne prøvde å få mest mulig ut av tiden sin med ofrene ved å forsøke å erte ut flere passord fra hver phishing-økt.
"Hvert forsøk på å sende inn disse 365-legitimasjonene returnerte en feil og ba brukeren om å prøve igjen," ifølge forskernes oppskrift. "Brukere vil vanligvis sende inn den samme legitimasjonen minst én gang til før de prøver varianter av andre passord de kan ha brukt tidligere, og gir en gullgruve av legitimasjon for kriminelle å selge eller bruke i brute-force eller credential-stuffing-angrep til få tilgang til populære økonomiske eller sosiale medier-kontoer."
Omsorgen som er tatt i målrettingen av ofre med en gjennomtenkt plan er en av de mest bemerkelsesverdige aspektene ved kampanjen, sier Eyal Benishti, grunnlegger og administrerende direktør i Ironscales, til Dark Reading.
«Dette går etter folk som jobber i eiendom (eiendomsmeglere, eiendomsmeglere, eiendomsadvokater), ved å bruke en phishing-mal for e-post som forfalsker en veldig kjent merkevare og kjent oppfordring til handling ('gjennomgå disse sikre dokumentene' eller 'les denne sikre meldingen')», sier han.
Det er uklart hvor langt kampanjen kan spre seg, men selskapets undersøkelse viste at minst tusenvis har blitt phishet så langt.
"Det totale antallet personer som phishet er ukjent, vi undersøkte bare noen få tilfeller som krysset kundene våre," sier Benishti. "Men bare fra den lille prøven vi analyserte, ble det funnet mer enn 2,000 unike sett med legitimasjon i mer enn 10,000 innsendingsforsøk (mange brukere oppga samme eller alternative legitimasjon flere ganger)."
Risikoen for ofre er høy: Eiendomsrelaterte transaksjoner er ofte rettet mot sofistikerte svindel, spesielt transaksjoner involverer eiendomsselskaper.
"Basert på trender og statistikk, vil disse angriperne sannsynligvis bruke legitimasjonen for å gjøre dem i stand til å avskjære/direkte/omdirigere bankoverføringer knyttet til eiendomstransaksjoner," ifølge Benishti.
Microsoft Safe Links faller ned på jobben
Også bemerkelsesverdig (og uheldig) i denne kampanjen, en grunnleggende sikkerhetskontroll mislyktes tilsynelatende.
I den første runden med phishing forsøkte ikke nettadressen som målene ble bedt om å klikke på å skjule seg selv, bemerket forskere - når musepekeren over lenken ble vist en nettadresse med rødt flagg: "https://phishingsite.com /folde...[dot]shtm."
Påfølgende bølger skjulte imidlertid adressen bak en Safe Links URL - en funksjon funnet i Microsoft Defender som skal skanne URLer for å fange opp skadelige lenker. Safe Link overskriver koblingen med en annen URL ved hjelp av spesiell nomenklatur, når den lenken er skannet og ansett som sikker.
I dette tilfellet gjorde verktøyet det bare vanskeligere å visuelt inspisere den faktiske in-your-face "dette er en phish!" lenke, og tillot også meldingene å lettere komme forbi e-postfiltre. Microsoft svarte ikke på en forespørsel om kommentar.
"Safe Links har en rekke kjente svakheter, og å generere en falsk følelse av sikkerhet er den betydelige svakheten i denne situasjonen," sier Benishti. "Safe Links oppdaget ingen risiko eller bedrag knyttet til den opprinnelige lenken, men omskrev koblingen som om den hadde gjort det. Brukere og mange sikkerhetseksperter får en falsk følelse av sikkerhet fordi en sikkerhetskontroll er på plass, men denne kontrollen er stort sett ineffektiv."
Også å merke seg: I United Wholesale Mortgage-e-postene ble meldingen også flagget som en "Secure Email Notification", inkludert en ansvarsfraskrivelse om konfidensialitet, og hadde et falskt "Secured by Proofpoint Encryption"-banner.
Ryan Kalember, konserndirektør for cybersikkerhetsstrategi hos Proofpoint, sa at selskapet hans ikke er fremmed for å bli kapret merkevare, og la til at falsk bruk av navnet faktisk er en kjent nettangrepsteknikk som selskapets produkter søker etter.
Det er en god påminnelse om at brukere ikke kan stole på merkevarebygging for å fastslå sannheten til et budskap, bemerker han: «Trusselaktører later ofte til å være kjente merkevarer for å lokke målene sine til å avsløre informasjon,» sier han. "De utgir seg også ofte som kjente sikkerhetsleverandører for å legge til legitimitet til phishing-e-postene deres."
Selv slemme gutter gjør feil
I mellomtiden er det kanskje ikke bare OG-phisherne som drar nytte av den stjålne legitimasjonen.
Under analysen av kampanjen fant forskerne opp en URL i e-postene som ikke burde vært der: en sti som peker til en filkatalog på datamaskinen. Inne i den katalogen var nettkriminelles dårlige gevinster, det vil si hver enkelt e-post- og passordkombinasjon som ble sendt til det aktuelle phishing-nettstedet, holdt i en klartekstfil som alle kunne ha tilgang til.
"Dette var en fullstendig ulykke," sier Benishti. "Resultatet av slurvete arbeid, eller mer sannsynlig uvitenhet hvis de bruker et phishing-sett utviklet av noen andre - det er tonnevis tilgjengelig for kjøp på det svarte markedet."
De falske nettsideserverne (og klartekstfilene) ble raskt slått av eller fjernet, men som Benishti bemerket, er det sannsynlig at phishing-settet angriperne bruker er ansvarlig for klartekstfeilen – noe som betyr at de "vil fortsette å gjøre den stjålne legitimasjonen sin tilgjengelig" til verden."
Stjålet legitimasjon, mer sofistikert drivstoff til Phish Frenzy
Kampanjen setter i bredere perspektiv epidemien med phishing og innhenting av legitimasjon – og hva det betyr for autentisering fremover, bemerker forskere.
Darren Guccione, administrerende direktør og medgründer i Keeper Security, sier at phishing fortsetter å utvikle seg når det gjelder sofistikeringsnivået, som bør fungere som en clarion advarsel til bedrifter, gitt det høye risikonivået.
"Dårlige aktører på alle nivåer skreddersyr phishing-svindel ved å bruke estetisk-baserte taktikker som realistisk utseende e-postmaler og ondsinnede nettsteder for å lokke inn ofrene deres, og deretter overta kontoen deres ved å endre legitimasjonen, noe som hindrer tilgang fra den gyldige eieren," sier han til Dark Reading. "I et leverandøretterligningsangrep [som dette], når nettkriminelle bruker stjålne legitimasjon til å sende phishing-e-poster fra en legitim e-postadresse, er denne farlige taktikken enda mer overbevisende fordi e-posten kommer fra en kjent kilde."
De fleste moderne phishes kan også omgå sikre e-postgatewayer og til og med forfalske eller undergrave leverandører av tofaktorautentisering (2FA)., legger Monnia Deng, direktør for produktmarkedsføring i Bolster til, mens sosial ingeniørkunst generelt er usedvanlig effektiv i en tid med sky, mobilitet og fjernarbeid.
"Når alle forventer at nettopplevelsen deres skal være rask og enkel, er menneskelige feil uunngåelige, og disse phishing-kampanjene blir stadig smartere," sier hun. Hun legger til at tre makrotrender er ansvarlige for rekordmange phishing-relaterte angrep: "Den pandemiske overgangen til digitale plattformer for forretningskontinuitet, den voksende hæren av skriptbarn som enkelt kan kjøpe phishing-sett eller til og med kjøpe phishing som en abonnementstjeneste, og gjensidig avhengighet av teknologiplattformer som kan skape et forsyningskjedeangrep fra en phishing-e-post."
Dermed er realiteten at Dark Web er vert for store cacher med stjålne brukernavn og passord; store datadumper er ikke uvanlige, og ansporer i sin tur ikke bare til credential-stuffing og brute-force-angrep, men også ytterligere phishing-tiltak.
For eksempel er det mulig at trusselaktører brukte informasjon fra et nylig brudd på First American Financial for å kompromittere e-postkontoen de brukte til å sende ut phishes; den hendelsen avslørte 800 millioner dokumenter som inneholdt personlig informasjon.
"Databrudd eller lekkasjer har en lengre halveringstid enn folk tror," sier Benishti. "Det første amerikanske økonomiske bruddet skjedde i mai 2019, men personopplysningene som ble avslørt kan våpenbrukes år etterpå."
For å hindre dette travle markedet og profitørene som opererer innenfor det, er det på tide å se forbi passordet, legger han til.
"Passord krever stadig økende kompleksitet og rotasjonsfrekvens, noe som fører til sikkerhetsutbrenthet," sier Benishti. «Mange brukere aksepterer risikoen for å være usikre på arbeidet med å lage komplekse passord fordi det å gjøre det rette er gjort så komplisert. Multifaktorautentisering hjelper, men det er ikke en skuddsikker løsning. Fundamental endring er nødvendig for å bekrefte at du er den du sier du er i en digital verden og få tilgang til ressursene du trenger.»
Hvordan bekjempe phishing-tsunamien
Med utbredte tilnærminger uten passord som fortsatt er langt unna, sier Proofpoints Kalember at de grunnleggende brukerbevissthetsprinsippene er stedet å begynne når du bekjemper phishing.
"Folk bør nærme seg all uønsket kommunikasjon med forsiktighet, spesielt de som ber brukeren om å handle, for eksempel å laste ned eller åpne et vedlegg, klikke på en lenke eller avsløre legitimasjon som personlig eller økonomisk informasjon," sier han.
Det er også viktig at alle lærer og praktiserer god passordhygiene på tvers av hver tjeneste de bruker, legger Benishti til: «Og hvis du noen gang blir varslet om at informasjonen din kan ha vært involvert i et brudd, kan du tilbakestille alle passordene dine for hver tjeneste du bruker . Hvis ikke, har motiverte angripere smarte måter å korrelere alle slags data og kontoer på for å få det de vil ha."
I tillegg anbefaler Ironscales regelmessig testing av phishing-simulering for alle ansatte, og ropte opp en tommelfingerregel med røde flagg å se etter:
- Brukere kunne ha identifisert dette phishing-angrepet ved å se nøye på avsenderen
- Sørg for at avsenderadressen samsvarer med returadressen og at adressen er fra et domene (URL) som vanligvis samsvarer med virksomheten de handler med.
- Se etter dårlig stavemåte og grammatikk.
- Hold musen over lenker og se på hele URL/adressen til destinasjonen, se om det ser uvanlig ut.
- Vær alltid veldig forsiktig med nettsteder som ber deg om legitimasjon som ikke er knyttet til dem, for eksempel Microsoft 365 eller Google Workspace-pålogging.
