Phish imobiliar înghite 1,000 de acreditări Microsoft 365

Mii de acreditări Microsoft 365 au fost descoperite stocate în text simplu pe serverele de phishing, ca parte a unei campanii neobișnuite și direcționate de colectare a acreditărilor împotriva profesioniștilor din domeniul imobiliar. Atacurile arată riscul în creștere și în evoluție pe care îl prezintă combinațiile tradiționale nume de utilizator-parolă, spun cercetătorii, mai ales că phishingul continuă să crească în sofisticare, eludând securitatea de bază a e-mailului. 

Cercetătorii de la Ironscales au descoperit ofensiva, în care atacatorii cibernetici s-au pozat ca angajați ai doi furnizori de servicii financiare cunoscuți din spațiul imobiliar: First American Financial Corp. și United Wholesale Mortgage. Infractorii cibernetici folosesc conturile pentru a trimite e-mailuri de phishing către agenții imobiliari, avocați imobiliari, agenți de titluri și cumpărători și vânzători, au spus analiștii, într-o încercare de a-i direcționa către paginile de conectare falsificate la Microsoft 365 pentru a captura acreditările.

E-mailurile alertează țintele că documentele atașate trebuiau revizuite sau că au mesaje noi găzduite pe un server securizat, conform unui Postare din 15 septembrie pe campania de la Ironscales. În ambele cazuri, legăturile încorporate direcționează destinatarii către paginile de conectare false, cerându-le să se conecteze la Microsoft 365.

Odată ajunsi pe pagina rău intenționată, cercetătorii au observat o întorsătură neobișnuită a procedurilor: atacatorii au încercat să profite la maximum de timpul lor cu victimele încercând să scoată mai multe parole din fiecare sesiune de phishing.

„Fiecare încercare de a trimite aceste 365 de acreditări a returnat o eroare și a solicitat utilizatorului să încerce din nou”, conform scrierii cercetătorilor. „Utilizatorii vor trimite, de obicei, aceleași acreditări cel puțin încă o dată înainte de a încerca variante ale altor parole pe care le-ar fi putut folosi în trecut, oferind o mină de aur de acreditări pe care infractorii să le vândă sau să le folosească în atacuri de forță brută sau de umplere de acreditări. accesați conturi financiare sau de rețele sociale populare.”

Grija acordată în țintirea victimelor cu un plan bine gândit este unul dintre cele mai notabile aspecte ale campaniei, spune Eyal Benishti, fondator și CEO la Ironscales, spune pentru Dark Reading.

„Asta merge după persoane care lucrează în domeniul imobiliar (agenți imobiliari, agenți de titluri, avocați imobiliari), folosind un șablon de phishing prin e-mail care falsifică o marcă foarte cunoscută și un apel la acțiune familiar („revizuiți aceste documente securizate” sau „citiți acest mesaj securizat”)”, spune el.

Nu este clar cât de departe se poate extinde campania, dar investigația companiei a arătat că cel puțin mii de persoane au fost phishing până acum.

„Numărul total de persoane care au phishing este necunoscut, am investigat doar câteva cazuri care ne-au intersectat clienții”, spune Benishti. „Dar doar din eșantionul mic pe care l-am analizat, au fost găsite peste 2,000 de seturi unice de acreditări în peste 10,000 de încercări de trimitere (mulți utilizatori au furnizat aceleași acreditări sau alte acreditări de mai multe ori).”

Riscul pentru victime este mare: tranzacțiile legate de imobiliare sunt adesea vizate de fraude sofisticate, în special tranzacții care implică societăți de titluri imobiliare.

„Pe baza tendințelor și statisticilor, acești atacatori probabil vor să folosească acreditările pentru a le permite să intercepteze/direcționeze/redirecționeze transferurile bancare asociate cu tranzacțiile imobiliare”, potrivit Benishti.

Microsoft Safe Links cade la locul de muncă

De asemenea, notabil (și nefericit) în această campanie specială, un control de securitate de bază a eșuat aparent.

În runda inițială de phishing, adresa URL pe care țintelor li s-a cerut să facă clic nu a încercat să se ascundă, au observat cercetătorii – când treceau mouse-ul peste link, a fost afișată o adresă URL cu steag roșu: „https://phishingsite.com /folde…[dot]shtm.”

Cu toate acestea, valuri ulterioare au ascuns adresa în spatele unui URL Safe Links - o caracteristică găsită în Microsoft Defender care ar trebui să scaneze adresele URL pentru a detecta link-urile rău intenționate. Safe Link suprascrie linkul cu o adresă URL diferită utilizând nomenclatură specială, odată ce acel link este scanat și considerat sigur.

În acest caz, instrumentul a îngreunat doar inspectarea vizuală a „acesta este un phishing!”. link și, de asemenea, a permis mesajelor să treacă mai ușor de filtrele de e-mail. Microsoft nu a răspuns la o solicitare de comentarii.

„Legăturile sigure are mai multe puncte slabe cunoscute și generarea unui sentiment fals de securitate este slăbiciunea semnificativă în această situație”, spune Benishti. „Legăturile sigure nu a detectat niciun risc sau înșelăciune asociată cu linkul original, dar a rescris linkul ca și cum ar fi fost. Utilizatorii și mulți profesioniști în securitate dobândesc un sentiment fals de securitate datorită unui control de securitate în vigoare, dar acest control este în mare măsură ineficient.”

De asemenea, de remarcat: în e-mailurile United Wholesale Mortgage, mesajul a fost, de asemenea, marcat ca „Notificare prin e-mail sigur”, include o declinare a răspunderii privind confidențialitatea și prezenta un banner fals „Securizat prin criptare Proofpoint”.

Ryan Kalember, vicepreședinte executiv al strategiei de securitate cibernetică la Proofpoint, a declarat că compania sa nu este străină de a fi deturnată de marcă, adăugând că utilizarea falsă a numelui său este de fapt o tehnică cunoscută de atac cibernetic pe care produsele companiei o scanează.

Este o bună reamintire că utilizatorii nu se pot baza pe branding pentru a determina veridicitatea unui mesaj, notează el: „Actorii de amenințări se prefac adesea a fi mărci binecunoscute pentru a-și atrage țintele să divulge informații”, spune el. „De asemenea, deseori uzurpa identitatea furnizorilor cunoscuți de securitate pentru a adăuga legitimitate e-mailurilor lor de phishing.”

Chiar și băieții răi fac greșeli

Între timp, s-ar putea să nu fie doar phisherii OG cei care beneficiază de pe urma acreditărilor furate.

În timpul analizei campaniei, cercetătorii au descoperit o adresă URL în e-mailuri care nu ar fi trebuit să fie acolo: o cale care indică un director de fișiere de pe computer. În acel director se aflau câștigurile nedorite ale infractorilor cibernetici, adică fiecare combinație de e-mail și parolă trimisă către acel site de phishing, păstrată într-un fișier text clar pe care oricine l-ar fi putut accesa.

„Acesta a fost total un accident”, spune Benishti. „Rezultatul muncii neglijente sau, mai probabil, ignoranță dacă folosesc un kit de phishing dezvoltat de altcineva – există tone dintre care sunt disponibile pentru cumpărare pe piața neagră.”

Serverele de pagini web false (și fișierele de text clar) au fost închise sau eliminate rapid, dar, după cum a remarcat Benishti, este probabil ca kitul de phishing pe care atacatorii îl folosesc să fie responsabil pentru erorile de text clar - ceea ce înseamnă că „vor continua să pună la dispoziție acreditările lor furate. lumii."

Acreditări furate, mai multă sofisticare alimentează frenezia phishing-ului

Campania pune în perspectivă epidemia de phishing și recoltarea de acreditări – și ce înseamnă aceasta pentru autentificare în viitor, notează cercetătorii.

Darren Guccione, CEO și co-fondator la Keeper Security, spune că phishingul continuă să evolueze în ceea ce privește nivelul său de sofisticare, care ar trebui să acționeze ca un avertisment clar pentru întreprinderi, având în vedere nivelul ridicat de risc.

„Actorii răi de la toate nivelurile adaptează înșelătoriile de tip phishing folosind tactici bazate pe estetică, cum ar fi șabloane de e-mail realiste și site-uri web rău intenționate pentru a atrage victimele lor, apoi preia contul lor prin schimbarea acreditărilor, ceea ce împiedică accesul proprietarului valid.” îi spune el Dark Reading. „Într-un atac de uzurpare a identității unui furnizor [cum ar fi acesta], când infractorii cibernetici folosesc acreditări furate pentru a trimite e-mailuri de phishing de la o adresă de e-mail legitimă, această tactică periculoasă este și mai convingătoare, deoarece e-mailul provine dintr-o sursă familiară.”

Cele mai multe phishing-uri moderne pot, de asemenea, să ocolească gateway-urile de e-mail securizate și chiar să falsifice sau să distrugă furnizori de autentificare în doi factori (2FA)., adaugă Monnia Deng, director de marketing de produse la Bolster, în timp ce ingineria socială în general este extraordinar de eficientă într-o perioadă de cloud, mobilitate și lucru la distanță.

„Când toată lumea se așteaptă ca experiența lor online să fie rapidă și ușoară, eroarea umană este inevitabilă, iar aceste campanii de phishing devin din ce în ce mai inteligente”, spune ea. Ea adaugă că trei tendințe macro sunt responsabile pentru numărul record de atacuri legate de phishing: „Mutarea alimentată de pandemie către platforme digitale pentru continuitatea afacerii, armata în creștere de copii care pot cumpăra cu ușurință kituri de phishing sau chiar pot cumpăra phishing ca un serviciu de abonament și interdependența platformelor tehnologice care ar putea crea un atac al lanțului de aprovizionare dintr-un e-mail de phishing.”

Astfel, realitatea este că Dark Web-ul găzduiește cache-uri mari de nume de utilizator și parole furate; Evacuările de date mari nu sunt neobișnuite și, la rândul lor, determină nu numai atacuri de umplere de acreditări și forță brută, ci și eforturi suplimentare de phishing.

De exemplu, este posibil ca actorii amenințărilor să folosească informații dintr-o încălcare recentă a First American Financial pentru a compromite contul de e-mail pe care l-au folosit pentru a trimite phishing-urile; acel incident a expus 800 de milioane de documente care conțin informații personale.

„Încălcări sau scurgeri de date au un timp de înjumătățire mai lung decât cred oamenii”, spune Benishti. „Prima breșă financiară americană a avut loc în mai 2019, dar datele cu caracter personal expuse pot fi folosite ca arme după ani de zile.”

Pentru a dejuca această piață plină de viață și profitorii care operează în ea, este timpul să privim dincolo de parolă, adaugă el.

„Parolele necesită o complexitate și o frecvență de rotație din ce în ce mai mari, ceea ce duce la epuizarea securității”, spune Benishti. „Mulți utilizatori acceptă riscul de a fi nesiguri din cauza efortului de a crea parole complexe, deoarece a face ceea ce trebuie devine atât de complex. Autentificarea multifactorială ajută, dar nu este o soluție antiglonț. Sunt necesare schimbări fundamentale pentru a verifica că sunteți cine spuneți că sunteți într-o lume digitală și pentru a obține acces la resursele de care aveți nevoie.”

Cum să lupți împotriva tsunami-ului de phishing

Având în vedere că abordările larg răspândite fără parolă sunt încă departe, Kalember de la Proofpoint spune că principiile de bază privind conștientizarea utilizatorilor sunt locul de început atunci când luptați împotriva phishing-ului.

„Oamenii ar trebui să abordeze toate comunicările nesolicitate cu prudență, în special cele care solicită utilizatorului să acționeze, cum ar fi descărcarea sau deschiderea unui atașament, făcând clic pe un link sau dezvăluirea acreditărilor, cum ar fi informații personale sau financiare”, spune el.

De asemenea, este esențial ca toată lumea să învețe și să practice o bună igienă a parolelor pentru fiecare serviciu pe care îl utilizează, Benishti adaugă: „Și dacă ești vreodată notificat că informațiile tale ar fi putut fi implicate într-o încălcare, resetați-vă toate parolele pentru fiecare serviciu pe care îl utilizați. . Dacă nu, atacatorii motivați au modalități inteligente de a corela tot felul de date și conturi pentru a obține ceea ce își doresc.”

În plus, Ironscales recomandă testarea obișnuită de simulare a phishing-ului pentru toți angajații și a cerut un set de reguli de bază de semnale roșii pentru a căuta:

• Utilizatorii ar fi putut identifica acest atac de phishing uitându-se îndeaproape la expeditor
• Asigurați-vă că adresa de trimitere se potrivește cu adresa de retur și că adresa provine dintr-un domeniu (URL) care se potrivește de obicei cu afacerea cu care se ocupă.
• Căutați ortografie și gramatică proastă.
• Treceți cu mouse-ul peste linkuri și priviți adresa URL/adresa completă a destinației, vedeți dacă pare neobișnuit.
• Fiți întotdeauna foarte precaut cu privire la site-urile care vă solicită acreditări care nu sunt asociate cu acestea, cum ar fi autentificarea Microsoft 365 sau Google Workspace.