Phish na rynku nieruchomości połyka tysiące poświadczeń platformy Microsoft 1,000

Odkryto tysiące danych uwierzytelniających Microsoft 365 przechowywanych w postaci zwykłego tekstu na serwerach phishingowych w ramach niezwykłej, ukierunkowanej kampanii polegającej na zbieraniu danych uwierzytelniających skierowanej przeciwko profesjonalistom z branży nieruchomości. Ataki pokazują rosnące i zmieniające się ryzyko, jakie stwarzają tradycyjne kombinacje nazwy użytkownika i hasła, twierdzą badacze, zwłaszcza że phishing staje się coraz bardziej wyrafinowany, omijając podstawowe zabezpieczenia poczty elektronicznej. 

Badacze z Ironscales odkryli ofensywę, w ramach której cyberprzestępcy udawali pracowników dwóch znanych dostawców usług finansowych z branży nieruchomości: First American Financial Corp. i United Wholesale Mortgage. Analitycy twierdzą, że cyberprzestępcy wykorzystują te konta do wysyłania e-maili phishingowych do pośredników w obrocie nieruchomościami, prawników zajmujących się nieruchomościami, agentów nieruchomości oraz kupujących i sprzedających, próbując nakłonić ich do fałszywych stron logowania Microsoft 365 w celu przechwycenia danych uwierzytelniających.

E-maile ostrzegają odbiorców, że załączone dokumenty wymagają przejrzenia lub że mają nowe wiadomości przechowywane na bezpiecznym serwerze, zgodnie z Publikacja z 15 września w kampanii Ironscales. W obu przypadkach osadzone linki kierują odbiorców do fałszywych stron logowania z prośbą o zalogowanie się do Microsoft 365.

Na złośliwej stronie badacze zaobserwowali niezwykły zwrot w postępowaniu: osoby atakujące próbowały jak najlepiej wykorzystać czas spędzony z ofiarami, próbując wyłudzić wiele haseł z każdej sesji phishingowej.

„Każda próba przesłania danych uwierzytelniających 365 powodowała błąd i skłaniała użytkownika do ponownej próby” – wynika z publikacji badaczy. „Użytkownicy zazwyczaj podają te same dane uwierzytelniające co najmniej jeszcze raz, zanim wypróbują odmiany innych haseł, których mogli używać w przeszłości, co stanowi kopalnię złota danych uwierzytelniających dla przestępców, którzy mogą je sprzedać lub wykorzystać w atakach typu brute-force lub polegających na fałszowaniu danych uwierzytelniających w celu uzyskać dostęp do popularnych kont finansowych lub mediów społecznościowych.”

Dbałość o dotarcie do ofiar za pomocą dobrze przemyślanego planu to jeden z najbardziej godnych uwagi aspektów kampanii, mówi Dark Reading Eyal Benishti, założyciel i dyrektor generalny Ironscales.

„To ma miejsce później ludzie, którzy pracują w nieruchomościach (agenci nieruchomości, agenci nieruchomości, prawnicy zajmujący się nieruchomościami) przy użyciu szablonu phishingu e-mailowego, który podszywa się pod bardzo znaną markę i znajome wezwanie do działania („przejrzyj te bezpieczne dokumenty” lub „przeczytaj tę bezpieczną wiadomość”)” – mówi.

Nie jest jasne, jak daleko może sięgać kampania, ale dochodzenie firmy wykazało, że do tej pory co najmniej tysiące osób zostało wyłudzonych.

„Całkowita liczba osób, którym wyłudzano informacje, jest nieznana. Zbadaliśmy tylko kilka przypadków, które dotyczyły naszych klientów” – mówi Benishti. „Jednak na podstawie niewielkiej próbki, którą przeanalizowaliśmy, w ponad 2,000 10,000 próbach przesłania znaleziono ponad XNUMX unikalnych zestawów danych uwierzytelniających (wielu użytkowników wielokrotnie podało te same lub alternatywne dane uwierzytelniające).”

Ryzyko dla ofiar jest wysokie: transakcje związane z nieruchomościami są często celem wyrafinowanych oszustw, zwłaszcza transakcji z udziałem spółek zajmujących się nieruchomościami.

„Na podstawie trendów i statystyk wynika, że ​​napastnicy prawdopodobnie będą chcieli wykorzystać dane uwierzytelniające, aby umożliwić im przechwytywanie/kierowanie/przekierowywanie przelewów bankowych związanych z transakcjami na rynku nieruchomości” – twierdzi Benishti.

Microsoft Safe Links zawodzi w pracy

Godne uwagi (i niefortunne) w tej konkretnej kampanii jest także to, że podstawowa kontrola bezpieczeństwa najwyraźniej zawiodła.

Badacze zauważyli, że w początkowej fazie phishingu adres URL, o kliknięcie którego proszono osoby docelowe, nie próbował się ukryć — po najechaniu myszką na łącze wyświetlał się adres URL z czerwoną flagą: „https://phishingsite.com /folde…[kropka]shtm.”

Jednak kolejne fale ukryły adres za adresem URL bezpiecznych łączy — funkcją występującą w programie Microsoft Defender, która ma skanować adresy URL w celu wykrycia złośliwych łączy. Safe Link zastępuje link innym adresem URL, stosując specjalną nomenklaturę, gdy link zostanie przeskanowany i uznany za bezpieczny.

W tym przypadku narzędzie tylko utrudniło wizualną kontrolę rzeczywistego komunikatu „to jest phish!” link, a także umożliwił wiadomościom łatwiejsze przedostawanie się przez filtry e-maili. Firma Microsoft nie odpowiedziała na prośbę o komentarz.

„Safe Links ma kilka znanych słabości, a generowanie fałszywego poczucia bezpieczeństwa jest znaczącą słabością w tej sytuacji” – mówi Benishti. „Safe Links nie wykrył żadnego ryzyka ani oszustwa związanego z oryginalnym linkiem, ale przepisał link tak, jakby go miał. Użytkownicy i wielu specjalistów ds. bezpieczeństwa zyskuje fałszywe poczucie bezpieczeństwa z powodu wdrożonej kontroli bezpieczeństwa, która jednak jest w dużej mierze nieskuteczna”.

Uwaga: w e-mailach United Wholesale Mortgage wiadomość była również oznaczona jako „Powiadomienie o bezpiecznym e-mailu”, zawierała oświadczenie o zachowaniu poufności i opatrzona fałszywym banerem „Secured by Proofpoint Encryption”.

Ryan Kalember, wiceprezes wykonawczy ds. strategii cyberbezpieczeństwa w Proofpoint, powiedział, że przejmowanie marki nie jest obce jego firmie, dodając, że fałszywe użycie jej nazwy jest w rzeczywistości znaną techniką cyberataku, w poszukiwaniu której skanowane są produkty firmy.

To dobre przypomnienie, że użytkownicy nie mogą polegać na brandingu w celu ustalenia prawdziwości komunikatu, zauważa: „Przestępcy często udają znane marki, aby nakłonić swoje cele do ujawnienia informacji” – mówi. „Często podszywają się także pod znanych dostawców zabezpieczeń, aby uwiarygodnić swoje e-maile phishingowe”.

Nawet źli goście popełniają błędy

Tymczasem na skradzionych danych uwierzytelniających mogą czerpać korzyści nie tylko phisherzy z grupy OG.

Podczas analizy kampanii badacze wykryli zawarty w e-mailach adres URL, który nie powinien się tam znajdować: ścieżkę prowadzącą do katalogu plików komputerowych. Wewnątrz tego katalogu znajdowały się nieuczciwie zdobyte zyski cyberprzestępców, tj. każda kombinacja wiadomości e-mail i hasła przesłana do tej konkretnej witryny phishingowej, przechowywana w pliku zwykłego tekstu, do którego każdy mógł uzyskać dostęp.

„To był całkowicie przypadek” – mówi Benishti. „Wynik niechlujnej pracy lub, co bardziej prawdopodobne, niewiedzy, jeśli korzysta się z zestawu do phishingu opracowanego przez kogoś innego — jest ich mnóstwo do kupienia na czarnym rynku”.

Fałszywe serwery stron internetowych (i pliki w postaci zwykłego tekstu) zostały szybko zamknięte lub usunięte, ale jak zauważył Benishti, za błąd w postaci zwykłego tekstu prawdopodobnie odpowiada zestaw do phishingu, którego używają napastnicy — co oznacza, że ​​„będą nadal udostępniać skradzione dane uwierzytelniające”. Do świata."

Skradzione dane uwierzytelniające, większe wyrafinowanie napędzają szał phishingowy

Badacze zauważają, że kampania szerzej rzuca światło na epidemię phishingu i zbierania danych uwierzytelniających oraz na jej przyszłe znaczenie dla uwierzytelniania.

Darren Guccione, dyrektor generalny i współzałożyciel Keeper Security, twierdzi, że phishing stale ewoluuje pod względem poziomu zaawansowania, który powinien działać jako ostrzeżenie Clarion dla przedsiębiorstwze względu na podwyższony poziom ryzyka.

„Źli aktorzy na wszystkich poziomach dostosowują oszustwa phishingowe, stosując taktyki oparte na estetyce, takie jak realistycznie wyglądające szablony wiadomości e-mail i złośliwe strony internetowe, aby zwabić swoje ofiary, a następnie przejmują ich konto poprzez zmianę danych uwierzytelniających, co uniemożliwia dostęp prawidłowemu właścicielowi” mówi Dark Reading. „W przypadku ataku polegającego na podszywaniu się pod dostawcę [takiego jak ten], gdy cyberprzestępcy wykorzystują skradzione dane uwierzytelniające do wysyłania wiadomości e-mail phishingowych z legalnego adresu e-mail, ta niebezpieczna taktyka jest jeszcze bardziej przekonująca, ponieważ wiadomość e-mail pochodzi ze znanego źródła”.

Większość nowoczesnych ataków typu phishing może również ominąć bezpieczne bramy poczty e-mail, a nawet fałszować lub podważać ataki dostawców uwierzytelniania dwuskładnikowego (2FA).”, dodaje Monnia Deng, dyrektor ds. marketingu produktów w Bolster, podczas gdy inżynieria społeczna w ogóle jest niezwykle skuteczna w czasach chmury, mobilności i pracy zdalnej.

„Kiedy wszyscy oczekują, że korzystanie z Internetu będzie szybkie i łatwe, błąd ludzki jest nieunikniony, a kampanie phishingowe stają się coraz sprytniejsze” – mówi. Dodaje, że za rekordową liczbę ataków związanych z phishingiem odpowiadają trzy makrotrendy: „Wywołane pandemią przejście na platformy cyfrowe w celu zapewnienia ciągłości działania, rosnąca armia dzieciaków-skrypterów, którzy mogą z łatwością kupić zestawy do phishingu, a nawet kupić phishing jako narzędzie usługę subskrypcji oraz współzależność platform technologicznych, które mogą spowodować atak na łańcuch dostaw w wyniku wiadomości e-mail phishingowej”.

Zatem rzeczywistość jest taka, że ​​w Dark Web znajdują się duże zbiory skradzionych nazw użytkowników i haseł; Zrzuty dużych zbiorów danych nie są rzadkością i z kolei zachęcają nie tylko do ataków polegających na upychaniu danych uwierzytelniających i atakach typu brute-force, ale także do dodatkowych prób phishingu.

Możliwe jest na przykład, że ugrupowania zagrażające wykorzystały informacje pochodzące z niedawnego włamania do firmy First American Financial w celu zhakowania konta e-mail, którego używali do wysyłania phishingów; incydent ten ujawnił 800 milionów dokumentów zawierających dane osobowe.

„Naruszenia lub wycieki danych mają dłuższy okres półtrwania, niż się ludziom wydaje” – mówi Benishti. „Pierwsze naruszenie amerykańskiej finansów miało miejsce w maju 2019 r., ale ujawnione dane osobowe mogą zostać wykorzystane jako broń po latach”.

Aby udaremnić ten tętniący życiem rynek i działających na nim spekulantów, czas wyjść poza hasło – dodaje.

„Hasła wymagają coraz większej złożoności i częstotliwości rotacji, co prowadzi do wyczerpania zabezpieczeń” – mówi Benishti. „Wielu użytkowników akceptuje ryzyko braku bezpieczeństwa podczas tworzenia skomplikowanych haseł, ponieważ prawidłowe postępowanie jest bardzo skomplikowane. Uwierzytelnianie wieloskładnikowe pomaga, ale nie jest rozwiązaniem kuloodpornym. Potrzebna jest fundamentalna zmiana, aby zweryfikować, kim jesteś w cyfrowym świecie i uzyskać dostęp do potrzebnych zasobów.

Jak walczyć z tsunami phishingowym

Kalember z Proofpoint twierdzi, że w walce z phishingiem należy zacząć od podstawowych zasad świadomości użytkownika, ponieważ do powszechnego stosowania rozwiązań bezhasłowych jeszcze daleko.

„Ludzie powinni podchodzić ostrożnie do wszystkich niezamówionych wiadomości, zwłaszcza tych, które wymagają od użytkownika działania, np. pobrania lub otwarcia załącznika, kliknięcia łącza lub ujawnienia danych uwierzytelniających, takich jak dane osobowe lub finansowe” – mówi.

Ponadto bardzo ważne jest, aby wszyscy uczyli się i przestrzegali zasad higieny haseł w każdej usłudze, z której korzystają, Benishti dodaje: „A jeśli kiedykolwiek otrzymasz powiadomienie, że Twoje dane mogły zostać naruszone, zresetuj wszystkie hasła do każdej usługi, z której korzystasz . Jeśli nie, zmotywowani napastnicy mają sprytniejsze sposoby korelowania wszelkiego rodzaju danych i kont, aby uzyskać to, czego chcą”.

Ponadto firma Ironscales zaleca wszystkim pracownikom regularne testowanie symulacji phishingu i podaje praktyczny zestaw sygnałów ostrzegawczych, na które należy zwrócić uwagę:

• Użytkownicy mogli zidentyfikować ten atak phishingowy, uważnie przyglądając się nadawcy
• Upewnij się, że adres do wysyłki jest zgodny z adresem zwrotnym i że adres pochodzi z domeny (URL), która zwykle odpowiada firmie, z którą współpracuje.
• Poszukaj złej ortografii i gramatyki.
• Najedź kursorem na linki i spójrz na pełny adres URL/adres miejsca docelowego i zobacz, czy nie wygląda nietypowo.
• Zawsze zachowaj szczególną ostrożność w przypadku witryn proszących o podanie niepowiązanych z nimi danych uwierzytelniających, takich jak login Microsoft 365 lub Google Workspace.