Сложный и довольно необычный фишинговая кампания подделывает уведомления eFax и использует скомпрометированную бизнес-учетную запись Dynamics 365 Customer Voice, чтобы заманить жертв отказаться от своих учетных данных через страницы microsoft.com.
Злоумышленники нанесли удар по десяткам компаний благодаря широко распространенной кампании, которая ориентируясь на Microsoft 365 пользователи из самых разных секторов, включая энергетику, финансовые услуги, коммерческую недвижимость, продукты питания, производство и даже изготовление мебели, сообщили исследователи из Центра защиты от фишинга Cofense (PDC) в сообщении блога, опубликованном в среду.
Кампания использует комбинацию обычных и необычных тактик, чтобы заманить пользователей нажимать на страницу, которая, кажется, ведет их к опросу отзывов клиентов для службы eFax, но вместо этого крадет их учетные данные.
Злоумышленники выдают себя не только за eFax, но и за Microsoft, используя содержимое, размещенное на нескольких страницах microsoft.com, на нескольких этапах многоэтапной работы. Мошенничество является одной из ряда фишинговых кампаний, которые Cofense наблюдала с весны и в которых используется аналогичная тактика, говорит Джозеф Гэллоп, менеджер по анализу разведывательных данных в Cofense.
«В апреле этого года мы начали наблюдать значительный объем фишинговых писем с использованием встроенных ссылок на опросы ncv[.]microsoft[.]com, которые использовались в этой кампании», — рассказывает он Dark Reading.
Комбинация тактик
Фишинговые электронные письма используют обычную приманку, утверждая, что получатель получил 10-страничный корпоративный электронный факс, который требует его или ее внимания. Но после этого все расходится с проторенной дорожки, объяснил Натаниэль Сагибанда из Cofense PDC в пост в среду.
Получатель, скорее всего, откроет сообщение, ожидая, что оно связано с документом, требующим подписи. «Однако это не то, что мы видим, когда вы читаете тело сообщения», — написал он.
Вместо этого электронное письмо содержит то, что кажется прикрепленным безымянным PDF-файлом, который был доставлен по факсу, который действительно содержит реальный файл — необычная особенность фишингового электронного письма, по словам Галлопа.
«Хотя во многих кампаниях по фишингу учетных данных используются ссылки на размещенные файлы, а в некоторых — вложения, реже можно увидеть встроенную ссылку, выдающую себя за вложение», — написал он.
Сюжет еще больше сгущается в сообщении, которое содержит нижний колонтитул, указывающий, что это был сайт опроса, например, используемый для предоставления отзывов клиентов, который, согласно сообщению, сгенерировал сообщение.
Имитация опроса клиентов
По словам исследователей, когда пользователи нажимают на ссылку, они перенаправляются на убедительную имитацию страницы решения eFax, отображаемой на странице Microsoft Dynamics 365, которая была скомпрометирована злоумышленниками.
Эта страница содержит ссылку на другую страницу, которая, по-видимому, ведет к опросу Microsoft Customer Voice для предоставления отзывов о службе eFax, но вместо этого перенаправляет жертв на страницу входа в Microsoft, которая извлекает их учетные данные.
По словам исследователей, чтобы еще больше повысить легитимность этой страницы, злоумышленник зашел так далеко, что встроил видео о решениях eFax для поддельных сведений об услуге, предписав пользователю обращаться к «@eFaxdynamic365» с любыми запросами.
Кнопка «Отправить» в нижней части страницы также служит дополнительным подтверждением того, что злоумышленник использовал в мошенничестве настоящий шаблон формы обратной связи Microsoft Customer Voice, добавили они.
Затем злоумышленники модифицировали шаблон с помощью «ложной информации eFax, чтобы побудить получателя щелкнуть ссылку», которая ведет к фальшивой странице входа в Microsoft, которая отправляет свои учетные данные на внешний URL-адрес, размещенный злоумышленниками, пишет Сагибанда.
Обмануть наметанный глаз
В то время как первоначальные кампании были намного проще — они включали только минимальную информацию, размещенную в опросе Microsoft, — кампания по спуфингу eFax пошла еще дальше, чтобы поддержать легитимность кампании, говорит Гэллоп.
Он отмечает, что сочетание многоэтапной тактики и двойного олицетворения может позволить сообщениям проходить через безопасные почтовые шлюзы, а также обмануть даже самых сообразительных корпоративных пользователей, которые были обучены обнаруживать фишинговые схемы.
«Только пользователи, которые продолжают проверять строку URL на каждом этапе на протяжении всего процесса, могут с уверенностью идентифицировать это как попытку фишинга», — говорит Галлоп.
В самом деле, опрос, проведенный фирмой по кибербезопасности Vade также опубликовано в среду, обнаружил, что олицетворение бренда продолжает оставаться главным инструментом, который фишеры используют, чтобы обмануть жертв, заставляя их нажимать на вредоносные электронные письма.
На самом деле, злоумышленники чаще всего выдавали себя за Microsoft в кампаниях, наблюдавшихся в первой половине 2022 года, исследователи обнаружили, хотя Facebook остается брендом, который чаще всего выдавали себя за фишинговые кампании, наблюдаемые до сих пор в этом году.
Фишинговая игра остается сильной
По словам Гэллопа, в настоящее время исследователи не определили, кто может стоять за мошенничеством, а также конкретные мотивы злоумышленников для кражи учетных данных.
В целом фишинг остается одним из самых простых и наиболее часто используемых злоумышленниками способов компрометации жертв, не только для кражи учетных данных, но и для распространения вредоносного программного обеспечения, поскольку вредоносное ПО, передаваемое по электронной почте, значительно легче распространять, чем удаленные атаки, согласно отчету Vade. .
Действительно, во втором квартале года этот тип атак увеличивался по сравнению с предыдущим месяцем, а затем в июне произошел еще один всплеск, который привел к тому, что «электронные письма вернулись к тревожным объемам, невиданным с января 2022 года», когда Вейд обнаружил более 100 с лишним миллионов фишинговых писем в рассылке.
«Относительная легкость, с которой хакеры могут проводить карательные кибератаки по электронной почте, делает электронную почту одним из главных векторов атак и постоянной угрозой для бизнеса и конечных пользователей», — пишет в отчете Натали Петитто из Vade. «Фишинговые электронные письма выдают себя за бренды, которым вы доверяете больше всего, предлагая широкую сеть потенциальных жертв и прикрытие легитимности для фишеров, маскирующихся под бренды».
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
