Tusentals Microsoft 365-uppgifter har upptäckts lagrade i klartext på nätfiskeservrar, som en del av en ovanlig, riktad kampanj för insamling av autentiseringsuppgifter mot fastighetsproffs. Attackerna visar upp den växande, föränderliga risken som traditionella kombinationer av användarnamn och lösenord finns, säger forskare, särskilt när nätfiske fortsätter att växa i sofistikering och kringgår grundläggande e-postsäkerhet.
Forskare från Ironscales upptäckte offensiven, där cyberattackare utgav sig som anställda hos två välkända finansiella tjänsteleverantörer i fastighetsområdet: First American Financial Corp. och United Wholesale Mortgage. Cyberskurkarna använder kontona för att skicka ut nätfiske-e-postmeddelanden till fastighetsmäklare, fastighetsadvokater, titelagenter och köpare och säljare, sa analytiker, i ett försök att styra dem till falska Microsoft 365-inloggningssidor för att fånga inloggningsuppgifter.
E-postmeddelandena varnar riktar sig mot att bifogade dokument behövde granskas eller att de har nya meddelanden på en säker server, enligt en 15 sept inlägg på kampanjen från Ironscales. I båda fallen leder inbäddade länkar mottagarna till de falska inloggningssidorna och ber dem logga in på Microsoft 365.
Väl på den skadliga sidan observerade forskare en ovanlig vändning i förfarandet: Angriparna försökte få ut det mesta av sin tid med offren genom att försöka reta ut flera lösenord från varje nätfiskesession.
"Varje försök att skicka in dessa 365-uppgifter returnerade ett fel och uppmanade användaren att försöka igen", enligt forskarnas skrivning. "Användare kommer vanligtvis att skicka in samma referens minst en gång till innan de provar varianter av andra lösenord som de kan ha använt tidigare, vilket ger en guldgruva av referenser för brottslingar att sälja eller använda i brute-force eller credential-stuffing attacker till få tillgång till populära finansiella konton eller konton för sociala medier."
Den omsorg som tas vid inriktningen av offer med en genomtänkt plan är en av de mest anmärkningsvärda aspekterna av kampanjen, säger Eyal Benishti, grundare och VD på Ironscales, till Dark Reading.
"Det här går efter människor som arbetar inom fastigheter (fastighetsmäklare, fastighetsmäklare, fastighetsadvokater), med hjälp av en e-postnätfiske-mall som förfalskar ett mycket välbekant varumärke och välbekant uppmaning ('granska dessa säkra dokument' eller 'läs detta säkra meddelande')", säger han.
Det är oklart hur långt kampanjen kan sprida sig, men företagets undersökning visade att minst tusentals har nätfiskat hittills.
"Det totala antalet personer som nätfiske är okänt, vi undersökte bara några få fall som träffade våra kunder", säger Benishti. "Men bara från det lilla urvalet vi analyserade hittade vi mer än 2,000 10,000 unika uppsättningar av inloggningsuppgifter i mer än XNUMX XNUMX inlämningsförsök (många användare angav samma eller alternativa uppgifter flera gånger)."
Risken för offren är hög: fastighetsrelaterade transaktioner är ofta inriktade på sofistikerade bedrägerier, särskilt transaktioner som involverar fastighetsbolag.
"Baserat på trender och statistik vill dessa angripare sannolikt använda inloggningsuppgifterna för att göra det möjligt för dem att avlyssna/direkta/omdirigera banköverföringar associerade med fastighetstransaktioner", enligt Benishti.
Microsoft Safe Links faller ner på jobbet
Också anmärkningsvärt (och olyckligt) i denna speciella kampanj, en grundläggande säkerhetskontroll misslyckades tydligen.
I den inledande omgången av nätfiske försökte inte webbadressen som målinriktade klickade på att dölja sig själv, noterade forskare - när man för muspekaren över länken visades en webbadress med röd flagga: "https://phishingsite.com /folde...[prick]shtm."
Men efterföljande vågor gömde adressen bakom en webbadress för säkra länkar – en funktion som finns i Microsoft Defender som ska skanna webbadresser för att fånga upp skadliga länkar. Säker länk skriver över länken med en annan URL med hjälp av speciell nomenklatur, när den länken har skannats och anses säker.
I det här fallet gjorde verktyget det bara svårare att visuellt inspektera den faktiska in-your-face "det här är ett nätfiske!" länk, och tillät även meddelandena att lättare komma förbi e-postfilter. Microsoft svarade inte på en begäran om kommentar.
"Safe Links har flera kända svagheter och att generera en falsk känsla av säkerhet är den betydande svagheten i den här situationen", säger Benishti. "Safe Links upptäckte inte några risker eller bedrägerier i samband med den ursprungliga länken, utan skrev om länken som om den hade gjort det. Användare och många säkerhetspersonal får en falsk känsla av säkerhet eftersom en säkerhetskontroll finns på plats, men denna kontroll är i stort sett ineffektiv.”
Också att notera: I e-postmeddelanden från United Wholesale Mortgage flaggades meddelandet också som ett "Secure Email Notification", inkluderade en friskrivningsklausul om konfidentialitet och hade en falsk "Secured by Proofpoint Encryption"-banner.
Ryan Kalember, executive vice president of cybersecurity strategy på Proofpoint, sa att hans företag inte är främmande för att bli varumärkeskapat, och tillade att falsk användning av dess namn i själva verket är en känd cyberattacksteknik som företagets produkter söker efter.
Det är en bra påminnelse om att användare inte kan lita på varumärkesbyggande för att avgöra sanningshalten i ett meddelande, konstaterar han: "Hotaktörer utger sig ofta för att vara välkända varumärken för att locka sina mål att avslöja information", säger han. "De utger sig också ofta för att vara kända säkerhetsleverantörer för att lägga till legitimitet till sina nätfiske-e-postmeddelanden."
Även dåliga killar gör misstag
Under tiden kanske det inte bara är OG-nätfiskarna som drar nytta av de stulna referenserna.
Under analysen av kampanjen hittade forskare en URL i e-postmeddelandena som inte borde ha funnits där: en sökväg som pekar till en datorfilkatalog. Inuti den katalogen fanns cyberbrottslingarnas illa vinningar, dvs varje enskild e-post- och lösenordskombination som skickades till just den nätfiskesidan, förvarad i en klartextfil som vem som helst kunde ha tillgång till.
"Det här var en fullständig olycka", säger Benishti. "Resultatet av slarvigt arbete, eller mer sannolikt okunskap om de använder ett nätfiske-kit utvecklat av någon annan - det finns massor av som finns att köpa på svarta marknaden."
De falska webbsideservrarna (och klartextfilerna) stängdes snabbt av eller togs bort, men som Benishti noterade är det troligt att nätfiskepaketet som angriparna använder är ansvarigt för klartextfelet - vilket betyder att de "kommer att fortsätta att göra sina stulna referenser tillgängliga för världen."
Stulna inloggningsuppgifter, mer sofistikerad bränsle för phish-frenzy
Kampanjen sätter mer brett perspektiv på epidemin av nätfiske och insamling av referenser – och vad det betyder för autentisering framöver, noterar forskare.
Darren Guccione, VD och medgrundare på Keeper Security, säger att nätfiske fortsätter att utvecklas när det gäller dess sofistikerade nivå, vilket bör fungera som en klargörande varning till företagmed tanke på den förhöjda risknivån.
"Dåliga aktörer på alla nivåer skräddarsyr nätfiskebedrägerier med estetiskt baserade taktiker som realistiska e-postmallar och skadliga webbplatser för att locka in sina offer, och tar sedan över deras konto genom att ändra användaruppgifterna, vilket förhindrar åtkomst för den giltiga ägaren." säger han till Dark Reading. "I en leverantörsattack som personifierat [som den här], när cyberbrottslingar använder stulna referenser för att skicka nätfiske-e-postmeddelanden från en legitim e-postadress, är denna farliga taktik ännu mer övertygande eftersom e-postmeddelandet kommer från en bekant källa."
De flesta moderna nätfiske kan också kringgå säkra e-postgateways och till och med förfalska eller undergräva leverantörer av tvåfaktorsautentisering (2FA)., tillägger Monnia Deng, chef för produktmarknadsföring på Bolster, medan social ingenjörskonst i allmänhet är utomordentligt effektivt i en tid av moln, mobilitet och distansarbete.
"När alla förväntar sig att deras onlineupplevelse ska vara snabb och enkel är mänskliga fel oundvikliga, och dessa nätfiskekampanjer blir allt smartare", säger hon. Hon tillägger att tre makrotrender är ansvariga för det rekordhöga antalet nätfiskerelaterade attacker: "Den pandemi-drivna övergången till digitala plattformar för affärskontinuitet, den växande armén av skriptbarn som enkelt kan köpa nätfiske-kit eller till och med köpa nätfiske som en prenumerationstjänst och det ömsesidiga beroendet av teknikplattformar som kan skapa en attack från en nätfiske från ett nätfiskemeddelande."
Verkligheten är alltså att Dark Web är värd för stora cacher med stulna användarnamn och lösenord; stora datadumpar är inte ovanliga, och sporrar i sin tur inte bara till att fylla med uppgifter och attacker med brute force, utan även ytterligare nätfiskeansträngningar.
Det är till exempel möjligt att hotaktörer använde information från en nyligen genomförd First American Financial-intrång för att äventyra e-postkontot de använde för att skicka ut nätfisken; den händelsen avslöjade 800 miljoner dokument som innehöll personlig information.
"Dataintrång eller läckor har en längre halveringstid än vad folk tror", säger Benishti. "Den första amerikanska finansiella intrånget skedde i maj 2019, men de personuppgifter som avslöjas kan användas med vapen flera år efteråt."
För att omintetgöra denna livliga marknad och profitörerna som verkar inom den, är det dags att se bortom lösenordet, tillägger han.
"Lösenord kräver ständigt ökande komplexitet och rotationsfrekvens, vilket leder till säkerhetsutbrändhet", säger Benishti. "Många användare accepterar risken att vara osäkra på ansträngningen att skapa komplexa lösenord eftersom det är så komplicerat att göra rätt saker. Multifaktorautentisering hjälper, men det är ingen skottsäker lösning. Grundläggande förändring behövs för att verifiera att du är den du säger att du är i en digital värld och få tillgång till de resurser du behöver.”
Hur man bekämpar nätfiske-tsunamin
Med utbredda lösenordslösa tillvägagångssätt fortfarande långt borta, säger Proofpoints Kalember att de grundläggande principerna för användarmedvetenhet är platsen att börja när man bekämpar nätfiske.
"Människor bör närma sig all oönskad kommunikation med försiktighet, särskilt de som ber användaren att agera, som att ladda ner eller öppna en bilaga, klicka på en länk eller avslöja referenser som personlig eller finansiell information", säger han.
Det är också viktigt att alla lär sig och utövar god lösenordshygien för alla tjänster de använder, tillägger Benishti: "Och om du någon gång får ett meddelande om att din information kan ha varit inblandad i ett intrång, återställ alla dina lösenord för varje tjänst du använder . Om inte, har motiverade angripare smartare sätt att korrelera alla typer av data och konton för att få vad de vill ha."
Dessutom rekommenderar Ironscales regelbundna nätfiske-simuleringstestning för alla anställda och ropade ut en tumregel med röda flaggor att leta efter:
- Användare kunde ha identifierat denna nätfiskeattack genom att noga titta på avsändaren
- Se till att avsändningsadressen stämmer överens med returadressen och att adressen kommer från en domän (URL) som vanligtvis stämmer överens med det företag de har att göra med.
- Leta efter dålig stavning och grammatik.
- För muspekaren över länkar och titta på destinationens fullständiga URL/adress, se om det ser ovanligt ut.
- Var alltid mycket försiktig med webbplatser som ber dig om inloggningsuppgifter som inte är kopplade till dem, som Microsoft 365 eller Google Workspace-inloggning.
