Dodelano in precej nenavadno phishing kampanje ponareja obvestila eFax in uporablja ogrožen poslovni račun Dynamics 365 Customer Voice, da zvabi žrtve, da predajo svoje poverilnice prek strani microsoft.com.
Akterji groženj so s široko razširjeno kampanjo udarili na desetine podjetij, ki je ciljajo na Microsoft 365 uporabniki iz različnih sektorjev – vključno z energijo, finančnimi storitvami, komercialnimi nepremičninami, hrano, proizvodnjo in celo izdelavo pohištva, so raziskovalci iz Cofense Phishing Defense Center (PDC) razkrili v objavi na blogu, objavljeni v sredo.
Kampanja uporablja kombinacijo običajnih in nenavadnih taktik, da privabi uporabnike, da kliknejo stran, za katero se zdi, da jih vodi do ankete o povratnih informacijah strank za storitev eFax, vendar namesto tega ukrade njihove poverilnice.
Napadalci se lažno predstavljajo ne le za eFax, ampak tudi za Microsoft, tako da uporabljajo vsebino, ki gostuje na več straneh microsoft.com v več fazah večstopenjskega prizadevanja. Prevara je ena od številnih kampanj z lažnim predstavljanjem, ki jih Cofense opazuje od pomladi in uporabljajo podobno taktiko, pravi Joseph Gallop, vodja analize obveščevalnih podatkov pri Cofense.
»Aprila letos smo začeli opažati veliko količino lažnih e-poštnih sporočil z uporabo vdelanih povezav ankete ncv[.]microsoft[.]com, kakršne so bile uporabljene v tej kampanji,« je povedal za Dark Reading.
Kombinacija taktike
E-poštna sporočila z lažnim predstavljanjem uporabljajo običajno vabo, saj trdijo, da je prejemnik prejel 10-stranski korporativni eFax, ki zahteva njegovo ali njeno pozornost. Toda po tem stvari zaidejo z utečene poti, je pojasnil Nathaniel Sagibanda iz Cofense PDC v Objava v sredo.
Prejemnik bo najverjetneje odprl sporočilo v pričakovanju, da je povezano z dokumentom, ki potrebuje podpis. "Vendar to ni tisto, kar vidimo, ko berete telo sporočila," je zapisal.
Namesto tega e-poštno sporočilo vključuje nekaj, kar se zdi kot priložena, neimenovana datoteka PDF, ki je bila dostavljena s faksa, ki vključuje dejansko datoteko – po Gallopovih besedah je to nenavadna lastnost lažnega e-poštnega sporočila.
"Medtem ko veliko kampanj lažnega predstavljanja poverilnic uporablja povezave do gostujočih datotek, nekatere pa priloge, je redkeje videti vdelano povezavo, ki se predstavlja kot priloga," je zapisal.
Zaplet se še zgosti še nižje v sporočilu, ki vsebuje nogo, ki nakazuje, da je bilo sporočilo generirano na spletnem mestu za raziskave – na primer tistih, ki se uporabljajo za zagotavljanje povratnih informacij strank – glede na objavo.
Posnemanje ankete strank
Ko uporabniki kliknejo povezavo, so usmerjeni na prepričljivo imitacijo strani rešitve eFax, ki jo upodobi stran Microsoft Dynamics 365, ki so jo ogrozili napadalci, pravijo raziskovalci.
Ta stran vključuje povezavo do druge strani, za katero se zdi, da vodi do ankete Microsoft Customer Voice za zagotavljanje povratnih informacij o storitvi eFax, namesto tega pa žrtve vodi na Microsoftovo prijavno stran, ki izloči njihove poverilnice.
Da bi dodatno okrepil legitimnost te strani, je akter grožnje šel tako daleč, da je vdelal videoposnetek rešitev eFax za podrobnosti o ponarejeni storitvi, pri čemer je uporabniku naročil, naj se obrne na »@eFaxdynamic365« za kakršna koli vprašanja, so povedali raziskovalci.
Gumb »Pošlji« na dnu strani služi tudi kot dodatna potrditev, da je akter grožnje v prevari uporabil pravo predlogo obrazca Microsoft Customer Voice povratne informacije, so dodali.
Napadalci so nato spremenili predlogo z "lažnimi informacijami eFax, da bi prejemnika privabili, da klikne povezavo", kar vodi do lažne Microsoftove strani za prijavo, ki pošilja njihove poverilnice na zunanji URL, ki ga gostijo napadalci, je zapisal Sagibanda.
Prevara izurjenega očesa
Medtem ko so bile prvotne kampanje veliko enostavnejše – vključno z le minimalnimi informacijami, ki so gostovale v Microsoftovi anketi – gre kampanja lažnega predstavljanja eFax še dlje, da okrepi legitimnost kampanje, pravi Gallop.
Njegova kombinacija večstopenjskih taktik in dvojnega poosebljanja lahko omogoči, da sporočila zdrknejo skozi varne e-poštne prehode, in preslepijo tudi najpametnejše poslovne uporabnike, ki so bili usposobljeni za odkrivanje prevar z lažnim predstavljanjem, ugotavlja.
»Samo uporabniki, ki še naprej preverjajo vrstico URL na vsaki stopnji skozi celoten proces, bi to zagotovo prepoznali kot poskus lažnega predstavljanja,« pravi Gallop.
Prav zares, raziskava podjetja Vade za kibernetsko varnost prav tako izšla v sredo ugotovila, da lažno predstavljanje blagovne znamke še naprej ostaja najboljše orodje, ki ga lažno predstavljanje uporablja za preslepitev žrtev, da kliknejo zlonamerna e-poštna sporočila.
Raziskovalci so dejansko ugotovili, da so napadalci najpogosteje prevzeli osebnost Microsofta v kampanjah, ki so jih opazili v prvi polovici leta 2022, čeprav je Facebook še vedno najbolj poosebljena blagovna znamka v kampanjah lažnega predstavljanja, opaženih do zdaj letos.
Igra lažnega predstavljanja ostaja močna
Raziskovalci trenutno niso odkrili, kdo bi lahko stal za prevaro, niti posebnih motivov napadalcev za krajo poverilnic, pravi Gallop.
Lažno predstavljanje na splošno ostaja eden najpreprostejših in najpogosteje uporabljenih načinov za akterje groženj, da ogrozijo žrtve, ne samo za krajo poverilnic, temveč tudi za širjenje zlonamerne programske opreme, saj je po poročilu Vade zlonamerno programsko opremo, ki se prenaša po e-pošti, bistveno lažje razširjati kot napade na daljavo. .
Dejansko se je ta vrsta napada povečala iz meseca v mesec v drugem četrtletju leta in nato še en zagon junija, ki je potisnil "e-poštna sporočila nazaj na zaskrbljujoče količine, ki jih ni bilo od januarja 2022", ko je Vade zabeležil več kot 100 milijonov lažnih e-poštnih sporočil v distribuciji.
"Zaradi relativne enostavnosti, s katero lahko hekerji izvajajo kaznovane kibernetske napade prek e-pošte, je e-pošta eden izmed najboljših vektorjev za napade in stalna grožnja za podjetja in končne uporabnike," je v poročilu zapisala Natalie Petitto iz družbe Vade. »Phishing e-poštna sporočila predstavljajo blagovne znamke, ki jim najbolj zaupate, ponujajo široko mrežo potencialnih žrtev in plašč legitimnosti lažnim lažnim predstavljanjem blagovnih znamk.«
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
