Phish อสังหาริมทรัพย์กลืนข้อมูลรับรอง Microsoft 1,000 กว่า 365 รายการ

ข้อมูลรับรอง Microsoft 365 หลายพันรายการถูกจัดเก็บไว้ในเซิร์ฟเวอร์ฟิชชิ่ง ซึ่งเป็นส่วนหนึ่งของแคมเปญการเก็บข้อมูลรับรองที่ไม่ธรรมดาและมีเป้าหมายเพื่อต่อต้านผู้เชี่ยวชาญด้านอสังหาริมทรัพย์ นักวิจัยกล่าวว่าการโจมตีดังกล่าวแสดงให้เห็นถึงความเสี่ยงที่เพิ่มขึ้นและการพัฒนาซึ่งเกิดจากการใช้ชื่อผู้ใช้และรหัสผ่านแบบเดิม โดยเฉพาะอย่างยิ่งเมื่อฟิชชิ่งยังคงมีความซับซ้อนเพิ่มขึ้น โดยหลบเลี่ยงการรักษาความปลอดภัยอีเมลขั้นพื้นฐาน 

นักวิจัยจาก Ironscales ค้นพบการโจมตีดังกล่าว โดยผู้โจมตีทางไซเบอร์ปลอมตัวเป็นพนักงานของผู้ให้บริการทางการเงินที่มีชื่อเสียงสองรายในธุรกิจอสังหาริมทรัพย์ ได้แก่ First American Financial Corp. และ United Wholesale Mortgage อาชญากรไซเบอร์ใช้บัญชีเหล่านี้เพื่อส่งอีเมลฟิชชิ่งไปยังนายหน้า ทนายความด้านอสังหาริมทรัพย์ ตัวแทนกรรมสิทธิ์ และผู้ซื้อและผู้ขาย นักวิเคราะห์กล่าว ในความพยายามที่จะชักจูงให้พวกเขาปลอมแปลงหน้าเข้าสู่ระบบ Microsoft 365 เพื่อเก็บข้อมูลประจำตัว

อีเมลแจ้งเตือนเป้าหมายว่าต้องแนบเอกสารที่ต้องได้รับการตรวจสอบ หรือมีข้อความใหม่ที่โฮสต์บนเซิร์ฟเวอร์ที่ปลอดภัย ตามข้อมูลของ โพสต์วันที่ 15 กันยายน ในแคมเปญจาก Ironscales ในทั้งสองกรณี ลิงก์แบบฝังจะนำผู้รับไปยังหน้าเข้าสู่ระบบปลอมเพื่อขอให้พวกเขาลงชื่อเข้าใช้ Microsoft 365

เมื่อพบหน้าเว็บที่เป็นอันตราย นักวิจัยสังเกตเห็นการพลิกผันที่ผิดปกติในการดำเนินคดี: ผู้โจมตีพยายามใช้เวลาส่วนใหญ่กับเหยื่อโดยพยายามหลอกรหัสผ่านหลาย ๆ อันจากแต่ละเซสชันฟิชชิ่ง

“ความพยายามในการส่งข้อมูลประจำตัว 365 แต่ละครั้งกลับมีข้อผิดพลาดและแจ้งให้ผู้ใช้ลองอีกครั้ง” ตามการเขียนของนักวิจัย “ผู้ใช้มักจะส่งข้อมูลประจำตัวเดียวกันอย่างน้อยอีกครั้งหนึ่งก่อนที่จะลองใช้รหัสผ่านอื่น ๆ ที่พวกเขาอาจเคยใช้ในอดีต ซึ่งเป็นขุมทองของข้อมูลประจำตัวสำหรับอาชญากรที่จะขายหรือใช้ในการโจมตีแบบดุร้ายหรือยัดข้อมูลประจำตัว เข้าถึงบัญชีทางการเงินหรือโซเชียลมีเดียยอดนิยม”

Eyal Benishti ผู้ก่อตั้งและซีอีโอของ Ironscales เปิดเผยว่าความเอาใจใส่ในการกำหนดเป้าหมายเหยื่อด้วยแผนการที่คิดมาอย่างดีถือเป็นหนึ่งในแง่มุมที่โดดเด่นที่สุดของแคมเปญนี้

“สิ่งนี้กำลังเกิดขึ้นหลังจากนั้น คนที่ทำงานด้านอสังหาริมทรัพย์ (ตัวแทนอสังหาริมทรัพย์ ตัวแทนกรรมสิทธิ์ ทนายความด้านอสังหาริมทรัพย์) โดยใช้เทมเพลตอีเมลฟิชชิ่งที่ปลอมแปลงแบรนด์ที่คุ้นเคยและคำกระตุ้นการตัดสินใจที่คุ้นเคย ('ตรวจสอบเอกสารที่ปลอดภัยเหล่านี้' หรือ 'อ่านข้อความที่ปลอดภัยนี้')” เขากล่าว

ยังไม่ชัดเจนว่าแคมเปญอาจขยายออกไปได้ไกลแค่ไหน แต่การสืบสวนของบริษัทแสดงให้เห็นว่า จนถึงขณะนี้มีผู้ถูกฟิชชิงแล้วอย่างน้อยหลายพันราย

“ไม่ทราบจำนวนผู้ที่ถูกฟิชชิง เราตรวจสอบเพียงไม่กี่กรณีที่ดักจับลูกค้าของเราเท่านั้น” Benishti กล่าว “แต่จากการสุ่มตัวอย่างเล็กๆ น้อยๆ ที่เราวิเคราะห์ มีชุดข้อมูลรับรองที่ไม่ซ้ำกันมากกว่า 2,000 ชุดที่พบในความพยายามส่งมากกว่า 10,000 ครั้ง (ผู้ใช้จำนวนมากให้ข้อมูลประจำตัวเดียวกันหรือสำรองหลายครั้ง)”

ความเสี่ยงต่อผู้ที่ตกเป็นเหยื่ออยู่ในระดับสูง: ธุรกรรมที่เกี่ยวข้องกับอสังหาริมทรัพย์มักตกเป็นเป้าหมายของการหลอกลวงการฉ้อโกงที่ซับซ้อน โดยเฉพาะธุรกรรม ที่เกี่ยวข้องกับบริษัทอสังหาริมทรัพย์.

“ตามแนวโน้มและสถิติ ผู้โจมตีเหล่านี้น่าจะต้องการใช้ข้อมูลประจำตัวเพื่อให้สามารถสกัดกั้น/สั่งการ/เปลี่ยนเส้นทางการโอนเงินที่เกี่ยวข้องกับธุรกรรมอสังหาริมทรัพย์” ตามข้อมูลของ Benishti

Microsoft Safe Links ล้มเหลวในการทำงาน

สิ่งที่น่าทึ่ง (และน่าเสียดาย) ในแคมเปญนี้ก็คือการควบคุมความปลอดภัยขั้นพื้นฐานดูเหมือนจะล้มเหลว

ในรอบแรกของฟิชชิ่ง URL ที่เป้าหมายถูกขอให้คลิกไม่ได้พยายามซ่อนตัวเอง นักวิจัยตั้งข้อสังเกตว่า เมื่อวางเมาส์เหนือลิงก์ URL โบกธงสีแดงจะปรากฏขึ้น: “https://phishingsite.com /folde…[จุด]shtm”

อย่างไรก็ตาม คลื่นลูกต่อมาได้ซ่อนที่อยู่ด้านหลัง URL ของ Safe Links ซึ่งเป็นคุณลักษณะที่พบใน Microsoft Defender ที่ควรสแกน URL เพื่อรับลิงก์ที่เป็นอันตราย Safe Link จะเขียนทับลิงก์ด้วย URL อื่นโดยใช้ระบบการตั้งชื่อพิเศษ เมื่อลิงก์นั้นถูกสแกนและถือว่าปลอดภัยแล้ว

ในกรณีนี้ เครื่องมือนี้ทำให้การตรวจสอบสิ่งที่อยู่ตรงหน้าคุณด้วยสายตาทำได้ยากยิ่งขึ้น “นี่คือฟิชชิ่ง!” ลิงก์ และยังอนุญาตให้ข้อความผ่านตัวกรองอีเมลได้ง่ายขึ้น Microsoft ไม่ตอบสนองต่อการร้องขอความคิดเห็น

“Safe Links มีจุดอ่อนที่ทราบอยู่หลายประการ และการสร้างความรู้สึกผิด ๆ เกี่ยวกับความปลอดภัยเป็นจุดอ่อนที่สำคัญในสถานการณ์นี้” Benishti กล่าว “Safe Links ตรวจไม่พบความเสี่ยงหรือการหลอกลวงใดๆ ที่เกี่ยวข้องกับลิงก์ต้นฉบับ แต่เขียนลิงก์ใหม่ราวกับว่ามี ผู้ใช้และผู้เชี่ยวชาญด้านความปลอดภัยจำนวนมากเข้าใจผิดเกี่ยวกับความปลอดภัยเนื่องจากมีการควบคุมความปลอดภัย แต่การควบคุมนี้ส่วนใหญ่ไม่ได้ผล”

นอกจากนี้ หมายเหตุ: ในอีเมลของ United Wholesale Mortgage ข้อความดังกล่าวยังถูกทำเครื่องหมายว่าเป็น “การแจ้งเตือนทางอีเมลที่ปลอดภัย” รวมถึงข้อจำกัดความรับผิดชอบในการรักษาความลับ และมีแบนเนอร์ปลอม “ปลอดภัยโดยการเข้ารหัส Proofpoint”

Ryan Kalember รองประธานบริหารฝ่ายกลยุทธ์ความปลอดภัยทางไซเบอร์ที่ Proofpoint กล่าวว่าบริษัทของเขาไม่ใช่คนแปลกหน้าที่จะถูกแย่งชิงแบรนด์ โดยเสริมว่าการใช้ชื่อปลอมนั้นแท้จริงแล้วเป็นเทคนิคการโจมตีทางไซเบอร์ที่ผลิตภัณฑ์ของบริษัทสแกนหา

เป็นการเตือนที่ดีว่าผู้ใช้ไม่สามารถพึ่งพาการสร้างแบรนด์เพื่อระบุความจริงของข้อความได้ เขาตั้งข้อสังเกตว่า: “ผู้คุกคามมักจะแสร้งทำเป็นแบรนด์ที่มีชื่อเสียงเพื่อดึงดูดเป้าหมายให้เปิดเผยข้อมูล” เขากล่าว “พวกเขามักจะแอบอ้างเป็นผู้จำหน่ายความปลอดภัยที่เป็นที่รู้จักเพื่อเพิ่มความถูกต้องตามกฎหมายให้กับอีเมลฟิชชิ่งของพวกเขา”

แม้แต่คนเลวก็ยังทำผิดพลาด

ในขณะเดียวกัน อาจไม่ใช่แค่ฟิชเชอร์ OG เท่านั้นที่ได้รับประโยชน์จากข้อมูลประจำตัวที่ถูกขโมยไป

ในระหว่างการวิเคราะห์แคมเปญ นักวิจัยได้เลือก URL ในอีเมลที่ไม่ควรอยู่ที่นั่น ซึ่งเป็นเส้นทางที่ชี้ไปยังไดเร็กทอรีไฟล์ของคอมพิวเตอร์ ภายในไดเร็กทอรีนั้นคือผลประโยชน์ที่อาชญากรไซเบอร์ได้มาโดยมิชอบ กล่าวคือ อีเมลและรหัสผ่านทุกคำสั่งที่ส่งไปยังไซต์ฟิชชิ่งนั้น ๆ ถูกเก็บไว้ในไฟล์เคลียร์เท็กซ์ที่ใคร ๆ ก็สามารถเข้าถึงได้

“นี่เป็นอุบัติเหตุโดยสิ้นเชิง” เบนิชติกล่าว “ผลของการทำงานที่เลอะเทอะ หรือมีแนวโน้มว่าจะไม่รู้หากพวกเขากำลังใช้ชุดฟิชชิ่งที่พัฒนาโดยคนอื่น — มีชุดฟิชชิ่งมากมายให้เลือกซื้อในตลาดมืด”

เซิร์ฟเวอร์เว็บเพจปลอม (และไฟล์เคลียร์เท็กซ์) ถูกปิดหรือลบออกอย่างรวดเร็ว แต่ดังที่ Benishti ระบุไว้ เป็นไปได้ว่าชุดฟิชชิ่งที่ผู้โจมตีใช้นั้นจะต้องรับผิดชอบต่อความผิดพลาดของเคลียร์เท็กซ์ ซึ่งหมายความว่าพวกเขา “จะยังคงทำให้ข้อมูลรับรองที่ถูกขโมยของพวกเขาพร้อมใช้งานต่อไป ไปทั่วโลก."

ข้อมูลประจำตัวที่ถูกขโมย เชื้อเพลิงที่มีความซับซ้อนมากขึ้น Phish Frenzy

แคมเปญนี้ให้มุมมองที่กว้างขวางยิ่งขึ้นเกี่ยวกับการแพร่กระจายของฟิชชิ่งและการเก็บเกี่ยวข้อมูลรับรอง และความหมายสำหรับการตรวจสอบสิทธิ์ในอนาคต นักวิจัยตั้งข้อสังเกต

Darren Guccione ซีอีโอและผู้ร่วมก่อตั้ง Keeper Security กล่าวว่าฟิชชิ่งยังคงมีการพัฒนาอย่างต่อเนื่องในแง่ของระดับความซับซ้อน ซึ่งควรทำหน้าที่เป็น Clarion เตือนสถานประกอบการเมื่อพิจารณาถึงระดับความเสี่ยงที่สูงขึ้น

“ผู้ไม่ประสงค์ดีทุกระดับกำลังปรับแต่งการหลอกลวงแบบฟิชชิ่งโดยใช้กลยุทธ์ที่เน้นความสวยงาม เช่น เทมเพลตอีเมลที่ดูสมจริงและเว็บไซต์ที่เป็นอันตรายเพื่อล่อลวงเหยื่อ จากนั้นเข้าควบคุมบัญชีของพวกเขาโดยการเปลี่ยนข้อมูลรับรอง ซึ่งจะป้องกันการเข้าถึงโดยเจ้าของที่ถูกต้อง” เขาบอก Dark Reading “ในการโจมตีโดยแอบอ้างเป็นผู้ขาย [เช่นนี้] เมื่ออาชญากรไซเบอร์ใช้ข้อมูลประจำตัวที่ถูกขโมยเพื่อส่งอีเมลฟิชชิ่งจากที่อยู่อีเมลที่ถูกต้อง กลยุทธ์ที่เป็นอันตรายนี้ยิ่งน่าเชื่อถือมากขึ้น เนื่องจากอีเมลนั้นมาจากแหล่งที่คุ้นเคย”

ฟิชชิ่งสมัยใหม่ส่วนใหญ่สามารถเลี่ยงผ่านเกตเวย์อีเมลที่ปลอดภัย หรือแม้แต่การปลอมแปลงหรือบ่อนทำลายได้ ผู้จำหน่ายการรับรองความถูกต้องด้วยสองปัจจัย (2FA)Monia Deng ผู้อำนวยการฝ่ายการตลาดผลิตภัณฑ์ที่ Bolster กล่าวเสริม ในขณะที่วิศวกรรมสังคมโดยทั่วไปมีประสิทธิภาพเป็นพิเศษในช่วงเวลาแห่งคลาวด์ ความคล่องตัว และการทำงานจากระยะไกล

“เมื่อทุกคนคาดหวังว่าประสบการณ์ออนไลน์ของตนจะรวดเร็วและง่ายดาย ข้อผิดพลาดของมนุษย์เป็นสิ่งที่หลีกเลี่ยงไม่ได้ และแคมเปญฟิชชิ่งเหล่านี้ก็เริ่มฉลาดมากขึ้น” เธอกล่าว เธอเสริมว่าแนวโน้มมหภาคสามประการที่รับผิดชอบต่อจำนวนการโจมตีที่เกี่ยวข้องกับฟิชชิ่งเป็นประวัติการณ์: “การย้ายไปยังแพลตฟอร์มดิจิทัลที่ขับเคลื่อนด้วยโรคระบาดเพื่อความต่อเนื่องทางธุรกิจ กองทัพเด็กสคริปต์ที่กำลังเติบโตซึ่งสามารถซื้อชุดฟิชชิ่งได้อย่างง่ายดาย หรือแม้แต่ซื้อฟิชชิ่งในรูปแบบ บริการสมัครสมาชิกและการพึ่งพาซึ่งกันและกันของแพลตฟอร์มเทคโนโลยีที่สามารถสร้างการโจมตีห่วงโซ่อุปทานจากอีเมลฟิชชิ่ง”

ดังนั้นความจริงก็คือ Dark Web โฮสต์แคชขนาดใหญ่ของชื่อผู้ใช้และรหัสผ่านที่ถูกขโมย การทิ้งข้อมูลขนาดใหญ่ไม่ใช่เรื่องแปลก และในทางกลับกันไม่เพียงแต่กระตุ้นการยัดข้อมูลประจำตัวและการโจมตีแบบดุร้ายเท่านั้น แต่ยังรวมถึงความพยายามในการฟิชชิ่งเพิ่มเติมด้วย

ตัวอย่างเช่น อาจเป็นไปได้ที่ผู้คุกคามใช้ข้อมูลจากการละเมิด First American Financial ล่าสุดเพื่อโจมตีบัญชีอีเมลที่พวกเขาใช้ในการส่งฟิชชิ่งออกไป เหตุการณ์นั้นเปิดเผยเอกสาร 800 ล้านฉบับที่มีข้อมูลส่วนบุคคล

“การละเมิดหรือการรั่วไหลของข้อมูลมีครึ่งชีวิตนานกว่าที่ผู้คนคิด” เบนิชติกล่าว “การละเมิดทางการเงินครั้งแรกของอเมริกาเกิดขึ้นในเดือนพฤษภาคม 2019 แต่ข้อมูลส่วนบุคคลที่เปิดเผยสามารถนำมาใช้เป็นอาวุธได้หลายปีหลังจากนั้น”

เพื่อขัดขวางตลาดที่พลุกพล่านนี้และผู้แสวงหาผลกำไรที่ดำเนินการอยู่ภายใน ถึงเวลาที่ต้องมองข้ามรหัสผ่าน เขากล่าวเสริม

“รหัสผ่านต้องการความซับซ้อนและความถี่ในการหมุนเวียนที่เพิ่มขึ้นเรื่อยๆ ซึ่งนำไปสู่ความเหนื่อยหน่ายด้านความปลอดภัย” เบนิชติกล่าว “ผู้ใช้จำนวนมากยอมรับความเสี่ยงของการไม่ปลอดภัยจากความพยายามในการสร้างรหัสผ่านที่ซับซ้อน เพราะการทำสิ่งที่ถูกต้องนั้นซับซ้อนมาก การรับรองความถูกต้องแบบหลายปัจจัยช่วยได้ แต่ไม่ใช่วิธีแก้ปัญหากันกระสุน จำเป็นต้องมีการเปลี่ยนแปลงขั้นพื้นฐานเพื่อยืนยันว่าคุณเป็นใครในโลกดิจิทัลและเข้าถึงทรัพยากรที่คุณต้องการ”

วิธีต่อสู้กับสึนามิฟิชชิ่ง

เนื่องจากแนวทางการไม่ใช้รหัสผ่านที่แพร่หลายยังคงมีหนทางอยู่ Kalember จาก Proofpoint กล่าวว่าหลักการพื้นฐานในการตระหนักรู้ของผู้ใช้เป็นจุดเริ่มต้นในการต่อสู้กับฟิชชิ่ง

“ผู้คนควรเข้าถึงการสื่อสารที่ไม่พึงประสงค์ทั้งหมดด้วยความระมัดระวัง โดยเฉพาะอย่างยิ่งการสื่อสารที่ขอให้ผู้ใช้ดำเนินการ เช่น ดาวน์โหลดหรือเปิดไฟล์แนบ การคลิกลิงก์ หรือเปิดเผยข้อมูลประจำตัว เช่น ข้อมูลส่วนบุคคลหรือข้อมูลทางการเงิน” เขากล่าว

นอกจากนี้ สิ่งสำคัญคือทุกคนต้องเรียนรู้และปฏิบัติตามสุขอนามัยของรหัสผ่านที่ดีในทุกบริการที่พวกเขาใช้ Benishti กล่าวเสริม: “และหากคุณได้รับแจ้งว่าข้อมูลของคุณอาจเกี่ยวข้องกับการละเมิด ให้ไปรีเซ็ตรหัสผ่านทั้งหมดของคุณสำหรับทุกบริการที่คุณใช้ . หากไม่เป็นเช่นนั้น ผู้โจมตีที่มีแรงจูงใจจะมีวิธีที่ยอดเยี่ยมในการเชื่อมโยงข้อมูลและบัญชีทุกประเภทเพื่อให้ได้สิ่งที่ต้องการ”

นอกจากนี้ Ironscales ยังแนะนำให้มีการทดสอบการจำลองฟิชชิ่งเป็นประจำสำหรับพนักงานทุกคน และเรียกชุดธงสีแดงที่เป็นหลักการทั่วไปเพื่อค้นหา:

• ผู้ใช้สามารถระบุการโจมตีแบบฟิชชิ่งนี้ได้โดยการมองดูผู้ส่งอย่างใกล้ชิด
• ตรวจสอบให้แน่ใจว่าที่อยู่สำหรับส่งตรงกับที่อยู่ผู้ส่ง และที่อยู่นั้นมาจากโดเมน (URL) ที่มักจะตรงกับธุรกิจที่พวกเขาติดต่อด้วย
• มองหาการสะกดและไวยากรณ์ที่ไม่ดี
• เลื่อนเมาส์ไปเหนือลิงก์และดู URL/ที่อยู่แบบเต็มของปลายทาง ดูว่าดูผิดปกติหรือไม่
• ควรระมัดระวังเว็บไซต์ที่ขอข้อมูลรับรองที่ไม่เกี่ยวข้องกับเว็บไซต์เหล่านั้น เช่น การเข้าสู่ระบบ Microsoft 365 หรือ Google Workspace