Тысячи учетных данных Microsoft 365 были обнаружены в открытом виде на фишинговых серверах в рамках необычной целенаправленной кампании по сбору учетных данных против специалистов по недвижимости. Исследователи говорят, что атаки демонстрируют растущий, развивающийся риск, который представляют традиционные комбинации имени пользователя и пароля, особенно в связи с тем, что фишинг становится все более изощренным, обходя базовую защиту электронной почты.
Исследователи из Ironscales обнаружили нападение, в котором кибер-злоумышленники выдавали себя за сотрудников двух известных поставщиков финансовых услуг в сфере недвижимости: First American Financial Corp. и United Wholesale Mortgage. По словам аналитиков, киберпреступники используют учетные записи для рассылки фишинговых электронных писем риелторам, юристам по недвижимости, агентам по титулу, покупателям и продавцам, пытаясь направить их на поддельные страницы входа в Microsoft 365 для захвата учетных данных.
Электронные письма предупреждают цели о том, что прикрепленные документы необходимо просмотреть или что у них есть новые сообщения, размещенные на защищенном сервере. 15 сентября. в кампании от Ironscales. В обоих случаях встроенные ссылки направляют получателей на фальшивые страницы входа с просьбой войти в Microsoft 365.
Оказавшись на вредоносной странице, исследователи заметили необычный поворот в ходе разбирательства: злоумышленники пытались максимально использовать свое время с жертвами, пытаясь выманить несколько паролей из каждой фишинговой сессии.
«Каждая попытка отправить эти учетные данные 365 возвращала ошибку и предлагала пользователю повторить попытку», — говорится в статье исследователей. «Пользователи обычно отправляют одни и те же учетные данные по крайней мере еще раз, прежде чем они попробуют варианты других паролей, которые они могли использовать в прошлом, предоставляя преступникам золотую жилу учетных данных для продажи или использования в атаках с использованием грубой силы или подстановки учетных данных. получить доступ к популярным финансовым аккаунтам или аккаунтам в социальных сетях».
Осторожность, проявленная при нацеливании на жертв с помощью хорошо продуманного плана, является одним из наиболее примечательных аспектов кампании, сказал Dark Reading Эяль Беништи, основатель и генеральный директор Ironscales.
«Это происходит после люди, которые работают в сфере недвижимости (агенты по недвижимости, титульные агенты, юристы по недвижимости), используя фишинговый шаблон электронной почты, который подделывает очень знакомый бренд и знакомый призыв к действию («просмотрите эти защищенные документы» или «прочитайте это защищенное сообщение»)», — говорит он.
Пока неясно, как далеко может зайти кампания, но расследование компании показало, что к настоящему времени фишинговые атаки были совершены не менее тысячи раз.
«Общее количество людей, подвергшихся фишинговым атакам, неизвестно, мы расследовали лишь несколько случаев, связанных с нашими клиентами», — говорит Беништи. «Но только из небольшой выборки, которую мы проанализировали, было найдено более 2,000 уникальных наборов учетных данных в более чем 10,000 XNUMX попытках отправки (многие пользователи вводили одни и те же или альтернативные учетные данные несколько раз)».
Риск для жертв высок: сделки, связанные с недвижимостью, часто становятся объектом изощренных мошеннических действий, особенно транзакций. с участием компаний, занимающихся недвижимостью.
«Основываясь на тенденциях и статистике, эти злоумышленники, вероятно, хотят использовать учетные данные, чтобы позволить им перехватывать/направлять/перенаправлять электронные переводы, связанные с операциями с недвижимостью», — сказал Беништи.
Безопасные ссылки Microsoft не работают
Также примечательным (и прискорбным) в этой конкретной кампании является то, что базовый контроль безопасности, по-видимому, дал сбой.
Исследователи отметили, что в начальном раунде фишинга URL-адрес, по которому жертвам было предложено щелкнуть, не пытался скрыться — при наведении курсора мыши на ссылку отображался URL-адрес с красным флажком: «https://phishingsite.com». /folde…[точка]штм».
Однако последующие волны скрывали адрес за URL-адресом безопасных ссылок — функцией Microsoft Defender, которая должна сканировать URL-адреса для обнаружения вредоносных ссылок. Безопасная ссылка перезаписывает ссылку другим URL-адресом, используя специальную номенклатуру, после того как эта ссылка будет просканирована и признана безопасной.
В этом случае инструмент только усложнил визуальную проверку фактического «это фишинг!» ссылка, а также позволила сообщениям легче проходить через фильтры электронной почты. Microsoft не ответила на запрос о комментариях.
«Безопасные ссылки имеют несколько известных недостатков, и создание ложного чувства безопасности является серьезной слабостью в этой ситуации», — говорит Беништи. «Безопасные ссылки не обнаружили никаких рисков или обмана, связанных с исходной ссылкой, но переписали ссылку так, как если бы она была. Пользователи и многие специалисты по безопасности получают ложное чувство безопасности из-за наличия мер безопасности, но эти меры в значительной степени неэффективны».
Также следует отметить: в электронных письмах United Wholesale Mortgage сообщение также было помечено как «Уведомление о защищенной электронной почте», содержало отказ от конфиденциальности и содержало поддельный баннер «Защищено шифрованием Proofpoint».
Райан Калембер, исполнительный вице-президент по стратегии кибербезопасности в Proofpoint, сказал, что его компании не привыкать к захвату бренда, добавив, что фальшивое использование ее имени на самом деле является известным методом кибератаки, который сканируют продукты компании.
Он отмечает, что это хорошее напоминание о том, что пользователи не могут полагаться на брендинг для определения правдивости сообщения: «Актеры угроз часто притворяются известными брендами, чтобы побудить свои цели к разглашению информации», — говорит он. «Они также часто выдают себя за известных поставщиков средств защиты, чтобы добавить легитимности своим фишинговым электронным письмам».
Даже плохие парни совершают ошибки
Между тем, украденными учетными данными могут воспользоваться не только фишеры OG.
Во время анализа кампании исследователи обнаружили в электронных письмах URL-адрес, которого там быть не должно: путь, указывающий на каталог файлов на компьютере. Внутри этого каталога находились нечестно заработанные киберпреступниками доходы, т. е. каждая отдельная электронная почта и пароль, отправленные на этот конкретный фишинговый сайт, хранились в текстовом файле, к которому мог получить доступ любой желающий.
«Это был совершенно несчастный случай, — говорит Беништи. «Результат небрежной работы или, что более вероятно, невежества, если они используют набор для фишинга, разработанный кем-то другим — их можно купить на черном рынке».
Поддельные серверы веб-страниц (и файлы с открытым текстом) были быстро отключены или удалены, но, как отметил Беништи, вполне вероятно, что фишинговый набор, который используют злоумышленники, ответственен за сбой с открытым текстом, что означает, что они «продолжат делать свои украденные учетные данные доступными». к миру."
Украденные учетные данные, еще больше изощренности подпитывают фишинговое безумие
Исследователи отмечают, что кампания более широко рассматривает эпидемию фишинга и сбора учетных данных, а также то, что это означает для аутентификации в будущем.
Даррен Гуччионе, генеральный директор и соучредитель Keeper Security, говорит, что фишинг продолжает развиваться с точки зрения уровня сложности, который должен выступать в качестве громкое предупреждение предприятиям, учитывая повышенный уровень риска.
«Злоумышленники на всех уровнях адаптируют фишинговые схемы, используя тактику, основанную на эстетике, такую как реалистично выглядящие шаблоны электронной почты и вредоносные веб-сайты, чтобы заманить своих жертв, а затем завладеть их учетной записью, изменив учетные данные, что предотвращает доступ действительного владельца». — рассказывает он Темному чтению. «При атаке под видом поставщика [подобной этой], когда киберпреступники используют украденные учетные данные для отправки фишинговых электронных писем с законного адреса электронной почты, эта опасная тактика еще более убедительна, поскольку электронное письмо исходит из знакомого источника».
Большинство современных средств фишинга также могут обходить безопасные почтовые шлюзы и даже подделывать или подрывать поставщики двухфакторной аутентификации (2FA), — добавляет Монния Денг, директор по маркетингу продукции в Bolster, — в то время как социальная инженерия в целом чрезвычайно эффективна во времена облачных технологий, мобильности и удаленной работы.
«Когда все ожидают, что их онлайн-взаимодействие будет быстрым и легким, человеческая ошибка неизбежна, и эти фишинговые кампании становятся все более изощренными», — говорит она. Она добавляет, что за рекордное количество атак, связанных с фишингом, ответственны три макротенденции: «вызванный пандемией переход на цифровые платформы для обеспечения непрерывности бизнеса, растущая армия детей-скриптов, которые могут легко приобрести наборы для фишинга или даже купить фишинг в качестве служба подписки и взаимозависимость технологических платформ, которые могут создать атаку на цепочку поставок из фишинговой электронной почты».
Таким образом, реальность такова, что в Даркнете хранятся большие кэши украденных имен пользователей и паролей; Дампы больших данных не являются чем-то необычным и, в свою очередь, стимулируют не только атаки с подстановкой учетных данных и грубой силой, но и дополнительные попытки фишинга.
Например, возможно, злоумышленники использовали информацию о недавнем взломе First American Financial, чтобы скомпрометировать учетную запись электронной почты, которую они использовали для рассылки фишинговых сообщений; в результате этого инцидента было раскрыто 800 миллионов документов, содержащих личную информацию.
«Нарушения или утечки данных имеют более длительный период полураспада, чем думают люди», — говорит Беништи. «Первая американская финансовая утечка произошла в мае 2019 года, но раскрытые личные данные могут быть использованы в качестве оружия спустя годы».
Чтобы помешать этому шумному рынку и спекулянтам, которые на нем действуют, пришло время выйти за рамки пароля, добавляет он.
«Пароли требуют все большей сложности и частоты смены, что приводит к выгоранию безопасности», — говорит Беништи. «Многие пользователи рискуют быть небезопасными из-за усилий по созданию сложных паролей, потому что делать правильные вещи очень сложно. Многофакторная аутентификация помогает, но это не надежное решение. Необходимы фундаментальные изменения, чтобы убедиться, что вы действительно тот, за кого себя выдаете, в цифровом мире и получить доступ к необходимым ресурсам».
Как бороться с фишинговым цунами
По словам Калембера из Proofpoint, до широкого распространения беспарольных подходов еще далеко, поэтому в борьбе с фишингом нужно начинать с основных принципов осведомленности пользователей.
«Людям следует с осторожностью подходить ко всем нежелательным сообщениям, особенно к тем, которые требуют от пользователя действий, таких как загрузка или открытие вложения, переход по ссылке или раскрытие учетных данных, таких как личная или финансовая информация», — говорит он.
Кроме того, крайне важно, чтобы каждый изучил и соблюдал правила гигиены паролей во всех службах, которые они используют, добавляет Беништи: «И если вы когда-нибудь получите уведомление о том, что ваша информация могла быть причастна к взлому, сбросьте все свои пароли для каждой службы, которую вы используете. . Если нет, у мотивированных злоумышленников есть более четкие способы сопоставления всех видов данных и учетных записей, чтобы получить то, что они хотят».
Кроме того, Ironscales рекомендует регулярно тестировать всех сотрудников на симуляцию фишинга и назвала практический набор красных флажков, на которые следует обращать внимание:
- Пользователи могли определить эту фишинговую атаку, внимательно взглянув на отправителя.
- Убедитесь, что адрес отправки совпадает с обратным адресом, а адрес относится к домену (URL), который обычно соответствует бизнесу, с которым они имеют дело.
- Ищите ошибки в правописании и грамматике.
- Наведите указатель мыши на ссылки и посмотрите на полный URL/адрес места назначения, посмотрите, не выглядит ли это необычно.
- Всегда будьте очень осторожны с сайтами, которые запрашивают у вас учетные данные, не связанные с ними, например Microsoft 365 или вход в Google Workspace.
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
