Wyrafinowany i dość nietypowy kampania phishingowa fałszuje powiadomienia eFax i wykorzystuje zhakowane konto firmowe Dynamics 365 Customer Voice, aby nakłonić ofiary do rezygnacji ze swoich danych uwierzytelniających za pośrednictwem stron microsoft.com.
Za pośrednictwem szeroko rozpowszechnionej kampanii hakerzy zaatakowali dziesiątki firm ukierunkowane na platformę Microsoft 365 użytkownicy z różnych sektorów — w tym energetyki, usług finansowych, nieruchomości komercyjnych, żywności, produkcji, a nawet przemysłu meblarskiego — ujawnili w opublikowanym w środę poście na blogu badacze z Cofense Phishing Defense Center (PDC).
W kampanii zastosowano kombinację typowych i nietypowych taktyk, aby nakłonić użytkowników do kliknięcia strony, która pozornie prowadzi ich do ankiety z opiniami klientów na temat usługi eFax, ale zamiast tego kradnie ich dane uwierzytelniające.
Osoby atakujące podszywają się nie tylko pod firmę eFax, ale także firmę Microsoft, wykorzystując zawartość hostowaną na wielu stronach microsoft.com w kilku etapach wieloetapowego działania. To oszustwo jest jedną z wielu obserwowanych przez Cofense od wiosny kampanii phishingowych, w których stosuje się podobną taktykę, mówi Joseph Gallop, menedżer ds. analiz wywiadowczych w Cofense.
„W kwietniu tego roku zaczęliśmy odnotowywać znaczną liczbę e-maili phishingowych wykorzystujących osadzone linki do ankiet ncv[.]microsoft[.]com, tego rodzaju, jakie zastosowano w tej kampanii” – mówi Dark Reading.
Połączenie taktyki
E-maile phishingowe wykorzystują konwencjonalną przynętę, twierdząc, że odbiorca otrzymał 10-stronicowy firmowy e-faks, który wymaga jego uwagi. Jednak potem sprawy odbiegają od utartych szlaków, wyjaśnił Nathaniel Sagibanda z Cofense PDC w środowy post.
Odbiorca najprawdopodobniej otworzy wiadomość, spodziewając się, że będzie powiązana z dokumentem wymagającym podpisu. „Jednak nie to widzimy, gdy czytasz treść wiadomości” – napisał.
Zamiast tego e-mail zawiera coś, co wygląda na załączony, nienazwany plik PDF, dostarczony z faksu zawierającego rzeczywisty plik — według Gallopa jest to niezwykła cecha wiadomości e-mail typu phishing.
„Chociaż wiele kampanii phishingu związanych z danymi uwierzytelniającymi wykorzystuje łącza do hostowanych plików, a niektóre wykorzystują załączniki, rzadziej zdarza się, aby osadzony link udający załącznik” – napisał.
Jak wynika z postu, fabuła zagęszcza się jeszcze bardziej w dalszej części wiadomości, która zawiera stopkę wskazującą, że to witryna z ankietami – na przykład ta używana do przekazywania opinii klientów – która wygenerowała wiadomość.
Naśladowanie ankiety klienta
Gdy użytkownicy klikną łącze, zostaną przekierowani do przekonującej imitacji strony rozwiązania eFax renderowanej przez stronę Microsoft Dynamics 365, która została zhakowana przez osoby atakujące – twierdzą badacze.
Ta strona zawiera łącze do innej strony, która wydaje się prowadzić do ankiety Microsoft Customer Voice mającej na celu przekazanie opinii na temat usługi eFax, ale zamiast tego przenosi ofiary na stronę logowania Microsoft, która wydobywa ich dane uwierzytelniające.
Aby jeszcze bardziej zwiększyć wiarygodność tej strony, ugrupowanie zagrażające posunął się nawet do osadzenia filmu przedstawiającego rozwiązania eFax zawierającego szczegółowe informacje o sfałszowanych usługach, instruując użytkownika, aby w przypadku jakichkolwiek pytań kontaktował się z „@eFaxdynamic365”.
Przycisk „Prześlij” na dole strony służy również jako dodatkowe potwierdzenie, że osoba zagrażająca użyła w oszustwie prawdziwego szablonu formularza opinii klienta Microsoft – dodał.
Następnie napastnicy zmodyfikowali szablon, dodając „fałszywe informacje eFax, aby nakłonić odbiorcę do kliknięcia łącza”, co prowadzi do fałszywej strony logowania Microsoft, która wysyła dane uwierzytelniające na zewnętrzny adres URL hostowany przez atakujących – napisała Sagibanda.
Oszukiwanie wprawnego oka
Choć pierwotne kampanie były znacznie prostsze — zawierały jedynie minimalne informacje zawarte w ankiecie firmy Microsoft — kampania podszywania się pod eFax idzie dalej i zwiększa jej wiarygodność, twierdzi Gallop.
Jego połączenie wieloetapowej taktyki i podwójnego podszywania się może pozwolić wiadomościom przedostać się przez bezpieczne bramki pocztowe i oszukać nawet najbardziej bystrych użytkowników korporacyjnych, którzy zostali przeszkoleni w wykrywaniu oszustw typu phishing – zauważa.
„Tylko użytkownicy, którzy stale sprawdzają pasek adresu URL na każdym etapie całego procesu, z pewnością zidentyfikują to jako próbę wyłudzenia informacji” – mówi Gallop.
W rzeczy samej, ankieta przeprowadzona przez firmę Vade zajmującą się cyberbezpieczeństwem również wydany w środę stwierdził, że podszywanie się pod markę w dalszym ciągu jest najpopularniejszym narzędziem używanym przez phisherów w celu nakłonienia ofiar do kliknięcia złośliwych wiadomości e-mail.
Badacze ustalili, że w kampaniach obserwowanych w pierwszej połowie 2022 r. napastnicy najczęściej przyjmowali tożsamość Microsoftu, choć Facebook pozostaje marką najczęściej podszywaną się pod firmę w kampaniach phishingowych obserwowanych dotychczas w tym roku.
Gra phishingowa pozostaje silna
Badacze nie ustalili obecnie, kto może stać za oszustwem ani jakie są konkretne motywy atakujących, którzy kradną dane uwierzytelniające, mówi Gallop.
Według raportu Vade, phishing pozostaje jednym z najłatwiejszych i najczęściej wykorzystywanych przez cyberprzestępców sposobów na narażanie ofiar na zagrożenia, nie tylko w celu kradzieży danych uwierzytelniających, ale także rozprzestrzeniania złośliwego oprogramowania, ponieważ rozpowszechnianie szkodliwego oprogramowania przesyłanego za pośrednictwem poczty elektronicznej jest znacznie łatwiejsze niż ataki zdalne. .
Rzeczywiście, w drugim kwartale roku liczba tego typu ataków wzrosła w ujęciu miesięcznym, a następnie w czerwcu nastąpił kolejny wzrost, który spowodował, że „e-maile powróciły do alarmującej liczby nienotowanych od stycznia 2022 r.”, kiedy Vade odnotował ponad 100 milion e-maili phishingowych w dystrybucji.
„Względna łatwość, z jaką hakerzy mogą przeprowadzać karne cyberataki za pośrednictwem poczty elektronicznej, sprawia, że poczta elektroniczna jest jednym z głównych wektorów ataków i stałym zagrożeniem dla firm i użytkowników końcowych” – napisała w raporcie Natalie Petitto z Vade. „E-maile phishingowe podszywają się pod marki, którym najbardziej ufasz, oferując szeroką sieć potencjalnych ofiar i fasadę legalności dla phisherów podszywających się pod marki”.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
