Real Estate Phish pogoltne 1,000 poverilnic za Microsoft 365

Odkritih je bilo na tisoče poverilnic Microsoft 365, shranjenih v navadnem besedilu na strežnikih za lažno predstavljanje, kot del nenavadne ciljane kampanje zbiranja poverilnic proti nepremičninskim strokovnjakom. Napadi kažejo na naraščajoče, razvijajoče se tveganje, ki ga predstavljajo tradicionalne kombinacije uporabniškega imena in gesla, pravijo raziskovalci, zlasti ker lažno predstavljanje še naprej postaja vse bolj prefinjeno in se izogiba osnovni varnosti elektronske pošte. 

Raziskovalci iz podjetja Ironscales so odkrili ofenzivo, v kateri so se kibernetski napadalci predstavljali kot zaposleni pri dveh dobro znanih prodajalcih finančnih storitev v nepremičninskem prostoru: First American Financial Corp. in United Wholesale Mortgage. Spletni prevaranti uporabljajo račune za pošiljanje e-poštnih sporočil z lažnim predstavljanjem nepremičninskim posrednikom, nepremičninskim odvetnikom, agentom za lastninska prava ter kupcem in prodajalcem, pravijo analitiki, da bi jih poskušali usmeriti na ponarejene strani za prijavo v Microsoft 365 za zajemanje poverilnic.

E-poštna sporočila opozarjajo, da je treba priložene dokumente pregledati ali da imajo nova sporočila, ki gostujejo na varnem strežniku, glede na Objava 15. sept o kampanji podjetja Ironscales. V obeh primerih vdelane povezave usmerijo prejemnike na lažne strani za prijavo in jih prosijo, da se prijavijo v Microsoft 365.

Ko so bili na zlonamerni strani, so raziskovalci opazili nenavaden zasuk v postopku: napadalci so poskušali kar najbolje izkoristiti čas z žrtvami tako, da so poskušali iz vsake seje lažnega predstavljanja izbrskati več gesel.

"Vsak poskus oddaje teh 365 poverilnic je vrnil napako in uporabnika pozval, naj poskusi znova," so zapisali raziskovalci. »Uporabniki bodo običajno predložili iste poverilnice vsaj še enkrat, preden bodo poskusili z različicami drugih gesel, ki so jih morda uporabljali v preteklosti, kar zagotavlja zlato jamo poverilnic za kriminalce, ki jih lahko prodajo ali uporabijo v napadih s surovo silo ali polnjenjem poverilnic dostop do priljubljenih finančnih računov ali računov družbenih medijev.«

Eyal Benishti, ustanovitelj in izvršni direktor podjetja Ironscales, je za Dark Reading povedal, da je skrb za ciljanje žrtev z dobro premišljenim načrtom eden najbolj opaznih vidikov kampanje.

»To se dogaja ljudje, ki delajo na področju nepremičnin (nepremičninski posredniki, agenti za lastninske pravice, odvetniki za nepremičnine), z uporabo e-poštne predloge za lažno predstavljanje, ki ponaredi zelo znano blagovno znamko in znani poziv k dejanju ('preglejte te varne dokumente' ali 'preberite to varno sporočilo'),” pravi.

Ni jasno, kako daleč se bo kampanja lahko razširila, vendar je preiskava podjetja pokazala, da je bilo doslej lažnega predstavljanja vsaj na tisoče.

»Skupno število ljudi, ki so lažno predstavljali, ni znano, preiskali smo le nekaj primerov, ki so prestregli naše stranke,« pravi Benishti. "Toda samo iz majhnega vzorca, ki smo ga analizirali, smo v več kot 2,000 poskusih oddaje našli več kot 10,000 edinstvenih nizov poverilnic (številni uporabniki so večkrat posredovali iste ali nadomestne poverilnice)."

Tveganje za žrtve je veliko: transakcije, povezane z nepremičninami, so pogosto tarča prefinjenih goljufij, zlasti transakcij ki vključuje podjetja z naslovom nepremičnin.

"Glede na trende in statistiko ti napadalci verjetno želijo uporabiti poverilnice, da bi jim omogočili prestrezanje/usmerjanje/preusmerjanje elektronskih prenosov, povezanih z nepremičninskimi transakcijami," pravi Benishti.

Microsoft Safe Links ne uspe

Prav tako je opazno (in žalostno) v tej posebni kampanji, da osnovni varnostni nadzor očitno ni uspel.

Raziskovalci so opazili, da se v začetnem krogu lažnega predstavljanja URL, ki so ga morali klikniti cilji, ni poskušal skriti – ko je kazalec kazal nad povezavo, je bil prikazan URL z rdečo zastavico: »https://phishingsite.com /folde…[pika]shtm.”

Vendar so kasnejši valovi naslov skrili za URL-jem varnih povezav – funkcijo, ki jo najdemo v programu Microsoft Defender, ki naj bi skenirala URL-je, da bi odkrila zlonamerne povezave. Varna povezava prepiše povezavo z drugim URL-jem s posebno nomenklaturo, ko je povezava pregledana in ocenjena kot varna.

V tem primeru je orodje samo otežilo vizualni pregled dejanskega "to je lažno predstavljanje!" povezavo, poleg tega pa je sporočilom omogočilo lažji prehod mimo e-poštnih filtrov. Microsoft se ni odzval na prošnjo za komentar.

»Safe Links ima več znanih slabosti in ustvarjanje lažnega občutka varnosti je pomembna slabost v tej situaciji,« pravi Benishti. »Safe Links ni zaznal nobenih tveganj ali prevar, povezanih s prvotno povezavo, ampak je povezavo prepisal, kot da bi bila. Uporabniki in številni varnostni strokovnjaki pridobijo lažen občutek varnosti zaradi vzpostavljenega varnostnega nadzora, vendar je ta nadzor večinoma neučinkovit.«

Opomba: V e-poštnih sporočilih United Wholesale Mortgage je bilo sporočilo prav tako označeno kot »Varno e-poštno obvestilo«, vključevalo je zavrnitev odgovornosti glede zaupnosti in nosilo lažno pasico »Zavarovano s šifriranjem Proofpoint«.

Ryan Kalember, izvršni podpredsednik strategije kibernetske varnosti pri Proofpointu, je dejal, da njegovemu podjetju ugrabitev blagovne znamke ni tuja, in dodal, da je lažna uporaba njegovega imena pravzaprav znana tehnika kibernetskega napada, ki jo izdelki podjetja pregledujejo.

To je dober opomnik, da se uporabniki ne morejo zanašati na blagovno znamko, da bi ugotovili verodostojnost sporočila, ugotavlja: "Udeleženci groženj se pogosto pretvarjajo, da so dobro znane blagovne znamke, da bi svoje tarče premamili v razkritje informacij," pravi. "Prav tako se pogosto izdajajo za znane prodajalce varnosti, da bi svojim lažnim e-poštnim sporočilom dodali legitimnost."

Tudi slabi fantje delajo napake

Medtem morda od ukradenih poverilnic nimajo koristi samo lažni izvajalci OG.

Med analizo kampanje so raziskovalci izbrali URL v e-poštnih sporočilih, ki ne bi smel biti tam: pot, ki kaže na imenik računalniških datotek. Znotraj tega imenika so bili nezakonito pridobljeni dobički kibernetskih kriminalcev, tj. vsaka posamezna kombinacija e-pošte in gesla, poslana na to določeno lažno spletno mesto, shranjena v datoteki s čistim besedilom, do katere je lahko kdorkoli dostopal.

"To je bila povsem nesreča," pravi Benishti. "Rezultat površnega dela ali bolj verjetno nevednosti, če uporabljajo komplet za lažno predstavljanje, ki ga je razvil nekdo drug - na črnem trgu jih je na voljo na tone."

Strežniki lažnih spletnih strani (in datoteke z jasnim besedilom) so bili hitro zaprti ali odstranjeni, a kot je opozoril Benishti, je verjetno, da je komplet za lažno predstavljanje, ki ga napadalci uporabljajo, odgovoren za napako v čistem besedilu - kar pomeni, da bodo »še naprej dajali na voljo svoje ukradene poverilnice svetu.”

Ukradene poverilnice, več prefinjenosti spodbuja Phish blaznost

Kampanja širše obravnava epidemijo lažnega predstavljanja in zbiranja poverilnic – in kaj to pomeni za prihodnjo avtentikacijo, ugotavljajo raziskovalci.

Darren Guccione, izvršni direktor in soustanovitelj podjetja Keeper Security, pravi, da se lažno predstavljanje še naprej razvija v smislu njegove stopnje prefinjenosti, ki bi morala delovati kot jasno opozorilo podjetjem, glede na povišano stopnjo tveganja.

»Slabi akterji na vseh ravneh krojijo goljufije z lažnim predstavljanjem z uporabo estetskih taktik, kot so realistične e-poštne predloge in zlonamerna spletna mesta, da privabijo svoje žrtve, nato pa prevzamejo njihov račun s spreminjanjem poverilnic, kar onemogoči dostop veljavnemu lastniku,« pove Dark Reading. "Pri napadu z lažnim predstavljanjem prodajalca [kot je ta], ko kibernetski kriminalci uporabijo ukradene poverilnice za pošiljanje lažnih e-poštnih sporočil z zakonitega e-poštnega naslova, je ta nevarna taktika še bolj prepričljiva, ker e-poštno sporočilo izvira iz znanega vira."

Večina sodobnih lažnih predstavljanj lahko zaobide tudi varne e-poštne prehode in celo ponaredi ali podredi prodajalci dvofaktorske avtentikacije (2FA)., dodaja Monnia Deng, direktorica trženja izdelkov pri Bolsterju, medtem ko je socialni inženiring na splošno izredno učinkovit v času oblaka, mobilnosti in dela na daljavo.

»Ko vsi pričakujejo, da bo njihova spletna izkušnja hitra in enostavna, je človeška napaka neizogibna in te kampanje lažnega predstavljanja postajajo vse bolj pametne,« pravi. Dodaja, da so trije makro trendi odgovorni za rekordno število napadov, povezanih z lažnim predstavljanjem: »Premik na digitalne platforme za neprekinjeno poslovanje, ki ga spodbuja pandemija, naraščajoča armada skriptnih otrok, ki lahko preprosto kupijo komplete za lažno predstavljanje ali celo kupijo lažno predstavljanje kot naročniške storitve in soodvisnost tehnoloških platform, ki bi lahko ustvarile napad na dobavno verigo iz e-pošte z lažnim predstavljanjem.«

Resničnost je torej taka, da Dark Web gosti velike predpomnilnike ukradenih uporabniških imen in gesel; odlagališča velikih podatkov niso neobičajna in posledično spodbujajo ne samo napade s kopičenjem poverilnic in nasilno uporabo, ampak tudi dodatna prizadevanja za lažno predstavljanje.

Na primer, možno je, da so akterji groženj uporabili informacije iz nedavnega vdora v First American Financial, da bi ogrozili e-poštni račun, ki so ga uporabili za pošiljanje lažnega predstavljanja; ta incident je razkril 800 milijonov dokumentov z osebnimi podatki.

"Kršitve ali uhajanje podatkov imajo daljšo razpolovno dobo, kot si ljudje mislijo," pravi Benishti. "Prva ameriška finančna kršitev se je zgodila maja 2019, vendar se lahko izpostavljeni osebni podatki uporabijo kot orožje leta zatem."

Da bi preprečili ta živahni trg in dobičkarje, ki delujejo na njem, je čas, da pogledamo dlje od gesla, dodaja.

»Gesla zahtevajo vedno večjo kompleksnost in pogostost vrtenja, kar vodi v izgorelost varnosti,« pravi Benishti. »Mnogi uporabniki sprejmejo tveganje, da bodo negotovi zaradi prizadevanja za ustvarjanje zapletenih gesel, ker je narediti pravo stvar tako zapleteno. Večfaktorsko preverjanje pristnosti pomaga, vendar ni neprebojna rešitev. Potrebna je temeljita sprememba, da preverimo, ali ste v digitalnem svetu to, za kar se predstavljate, in pridobite dostop do virov, ki jih potrebujete.«

Kako se boriti proti cunamiju lažnega predstavljanja

Glede na to, da so široko razširjeni pristopi brez gesla še daleč, Kalember iz Proofpointa pravi, da je treba začeti pri boju proti lažnemu predstavljanju z osnovnimi načeli ozaveščenosti uporabnikov.

»Ljudje bi morali previdno pristopiti k neželeni komunikaciji, zlasti tisti, ki od uporabnika zahteva ukrepanje, na primer prenos ali odpiranje priloge, klik na povezavo ali razkritje poverilnic, kot so osebni ali finančni podatki,« pravi.

Prav tako je ključnega pomena, da se vsi naučijo in izvajajo dobro higieno gesel v vsaki storitvi, ki jo uporabljajo, dodaja Benishti: »In če ste kdaj obveščeni, da so bili vaši podatki morda vpleteni v kršitev, ponastavite vsa svoja gesla za vsako storitev, ki jo uporabljate . Če ne, imajo motivirani napadalci premetenejše načine povezovanja vseh vrst podatkov in računov, da dobijo, kar hočejo.«

Poleg tega Ironscales priporoča redno preizkušanje simulacije lažnega predstavljanja za vse zaposlene in je pozval nabor rdečih zastavic, ki jih je treba upoštevati:

• Uporabniki bi lahko prepoznali ta napad z lažnim predstavljanjem, če bi natančno pogledali pošiljatelja
• Prepričajte se, da se naslov pošiljatelja ujema s povratnim naslovom in da je naslov iz domene (URL), ki se običajno ujema s podjetjem, s katerim se ukvarjajo.
• Poiščite napačno črkovanje in slovnico.
• Z miško se pomaknite nad povezave in si oglejte celoten URL/naslov cilja, preverite, ali je videti nenavadno.
• Vedno bodite zelo previdni pri spletnih mestih, ki od vas zahtevajo poverilnice, ki niso povezane z njimi, na primer prijava v Microsoft 365 ali Google Workspace.