Emlak profesyonellerine yönelik alışılmadık, hedefe yönelik bir kimlik bilgisi toplama kampanyasının parçası olarak, kimlik avı sunucularında düz metin olarak depolanan binlerce Microsoft 365 kimlik bilgisi keşfedildi. Araştırmacılar, özellikle kimlik avının temel e-posta güvenliğinden kaçarak karmaşıklığı artmaya devam ettiği bir dönemde, saldırıların geleneksel kullanıcı adı-şifre kombinasyonlarının oluşturduğu artan ve gelişen riski ortaya koyduğunu söylüyor.
Ironscales araştırmacıları, siber saldırganların emlak sektöründeki iki tanınmış finansal hizmet sağlayıcısının çalışanları gibi davrandıkları saldırıyı keşfetti: First American Financial Corp. ve United Toptan Mortgage. Analistler, siber dolandırıcıların bu hesapları emlakçılara, emlak avukatlarına, tapu acentelerine, alıcı ve satıcılara kimlik avı e-postaları göndermek için kullandığını ve onları kimlik bilgilerini ele geçirmek üzere sahte Microsoft 365 oturum açma sayfalarına yönlendirmek amacıyla kullandıklarını söyledi.
E-postalar, ekli belgelerin incelenmesi gerektiğini veya güvenli bir sunucuda barındırılan yeni mesajların bulunduğunu hedefliyor. 15 Eylül gönderisi Ironscales'in kampanyasında. Her iki durumda da, yerleşik bağlantılar alıcıları Microsoft 365'te oturum açmalarını isteyen sahte oturum açma sayfalarına yönlendirir.
Kötü niyetli sayfaya girdikten sonra araştırmacılar, süreçte alışılmadık bir değişiklik gözlemledi: Saldırganlar, her kimlik avı oturumunda birden fazla şifreyi ele geçirmeye çalışarak kurbanlarla geçirdikleri zamanı en iyi şekilde değerlendirmeye çalıştı.
Araştırmacıların raporuna göre "Bu 365 kimlik bilgilerini göndermeye yönelik her girişim bir hata döndürdü ve kullanıcının tekrar denemesine neden oldu." “Kullanıcılar genellikle geçmişte kullanmış olabilecekleri diğer şifrelerin çeşitlerini denemeden önce aynı kimlik bilgilerini en az bir kez daha gönderecekler, bu da suçluların kaba kuvvet veya kimlik bilgisi doldurma saldırılarında satması veya kullanması için bir altın madeni kimlik bilgisi sağlayacak. popüler finansal veya sosyal medya hesaplarına erişin.
Ironscales'in kurucusu ve CEO'su Eyal Benishti, Dark Reading'e, kurbanların iyi düşünülmüş bir planla hedef alınmasına gösterilen özenin kampanyanın en dikkat çekici yönlerinden biri olduğunu söylüyor.
“Bu peşinden gidiyor emlak sektöründe çalışan insanlar (emlakçılar, tapu acenteleri, emlak avukatları), oldukça tanıdık bir markayı ve tanıdık bir eylem çağrısını taklit eden bir e-posta kimlik avı şablonu kullanıyor ("bu güvenli belgeleri inceleyin" veya "bu güvenli mesajı okuyun")" diyor.
Kampanyanın ne kadar yayılabileceği belli değil ancak şirketin araştırması şu ana kadar en az binlerce kişinin kimlik avına maruz kaldığını gösterdi.
Benishti, "Kimlik avı yapan toplam kişi sayısı bilinmiyor; yalnızca müşterilerimizle kesişen birkaç örneği araştırdık" diyor. "Ancak analiz ettiğimiz küçük örneklemede, 2,000'den fazla gönderim denemesinde 10,000'den fazla benzersiz kimlik bilgisi seti bulundu (birçok kullanıcı aynı veya alternatif kimlik bilgilerini birden çok kez sağladı."
Mağdurlar için risk yüksek: Gayrimenkulle ilgili işlemler, özellikle işlemler olmak üzere genellikle karmaşık dolandırıcılık dolandırıcılıklarını hedef alıyor gayrimenkul tapu şirketlerinin dahil olduğu.
Benishti'ye göre, "Eğilimlere ve istatistiklere göre, bu saldırganlar büyük olasılıkla kimlik bilgilerini emlak işlemleriyle ilişkili banka havalelerini engellemek/yönlendirmek/yönlendirmek için kullanmak istiyor".
Microsoft Güvenli Bağlantılar İş Başında Düşüyor
Bu özel kampanyada ayrıca dikkate değer (ve talihsiz) bir temel güvenlik kontrolünün görünüşe göre başarısız olmasıydı.
Araştırmacılar, kimlik avının ilk turunda hedeflenen URL'nin tıklaması istenen URL'nin kendisini gizlemeye çalışmadığını belirtti; fareyi bağlantının üzerine getirdiğinizde kırmızı bayrak sallayan bir URL görüntülendi: "https://phishingsite.com" /folde…[nokta]shtm.”
Ancak sonraki dalgalar, adresi, Microsoft Defender'da bulunan ve kötü amaçlı bağlantıları tespit etmek için URL'leri taraması gereken bir özellik olan Güvenli Bağlantılar URL'sinin arkasına gizledi. Güvenli Bağlantı, bağlantı taranıp güvenli kabul edildikten sonra, özel bir terminoloji kullanarak farklı bir URL ile bağlantının üzerine yazar.
Bu durumda araç, yüzünüze çarpan gerçek "bu bir kimlik avı!" ifadesini görsel olarak incelemeyi zorlaştırdı. bağlantısını sağladı ve ayrıca mesajların e-posta filtrelerini daha kolay geçmesine olanak sağladı. Microsoft yorum talebine yanıt vermedi.
Benishti, "Güvenli Bağlantıların bilinen birkaç zayıf noktası var ve yanlış bir güvenlik duygusu yaratmak bu durumdaki önemli zayıflıktır" diyor. “Güvenli Bağlantılar, orijinal bağlantıyla ilgili herhangi bir risk veya aldatma tespit etmedi, ancak bağlantıyı varmış gibi yeniden yazdı. Kullanıcılar ve birçok güvenlik uzmanı, bir güvenlik kontrolünün mevcut olması nedeniyle yanlış bir güvenlik duygusuna kapılıyor, ancak bu kontrol büyük ölçüde etkisiz."
Ayrıca şunu da unutmayın: United Toptan Mortgage e-postalarında, mesaj aynı zamanda "Güvenli E-posta Bildirimi" olarak işaretlendi, bir gizlilik sorumluluk reddi beyanı içeriyordu ve sahte bir "Kanıt Noktası Şifrelemesi ile Güvenliği Sağlandı" başlığını taşıyordu.
Proofpoint'in siber güvenlik stratejisinden sorumlu başkan yardımcısı Ryan Kalember, şirketinin markaların ele geçirilmesine yabancı olmadığını söyleyerek, adının sahte kullanımının aslında şirketin ürünlerinin taradığı bilinen bir siber saldırı tekniği olduğunu ekledi.
Kullanıcıların bir mesajın doğruluğunu belirlemek için markalamaya güvenemeyeceklerinin iyi bir hatırlatma olduğunu belirtiyor: "Tehdit aktörleri, hedeflerini bilgi ifşa etmeye ikna etmek için genellikle tanınmış markalarmış gibi davranıyorlar" diyor. "Ayrıca, kimlik avı e-postalarına meşruiyet kazandırmak için genellikle bilinen güvenlik sağlayıcılarının kimliğine bürünüyorlar."
Kötü Adamlar Bile Hata Yapar
Bu arada, çalınan kimlik bilgilerinden yararlananlar yalnızca OG kimlik avcıları olmayabilir.
Kampanyanın analizi sırasında araştırmacılar, e-postalarda olmaması gereken bir URL tespit etti: bir bilgisayar dosya dizinine işaret eden bir yol. Bu dizinin içinde siber suçluların haksız kazançları, yani söz konusu kimlik avı sitesine gönderilen her bir e-posta ve şifre birleşimi, herkesin erişebileceği bir açık metin dosyasında saklanıyordu.
Benishti, "Bu tamamen bir kazaydı" diyor. "Özensiz çalışmanın sonucu veya başka biri tarafından geliştirilen bir kimlik avı kiti kullanıyorlarsa büyük ihtimalle bilgisizlikten kaynaklanıyor; karaborsada satın alınabilecek tonlarca kit var."
Sahte web sayfası sunucuları (ve şifresiz metin dosyaları) hızla kapatıldı veya kaldırıldı, ancak Benishti'nin belirttiği gibi, şifresiz metin hatasından saldırganların kullandığı kimlik avı kitinin sorumlu olması muhtemeldir; bu da "çalınan kimlik bilgilerini kullanılabilir hale getirmeye devam edecekleri" anlamına gelir. dünyaya.”
Çalınan Kimlik Bilgileri, Daha Fazla Gelişmişlik Kimlik Avı Çılgınlığını Artırıyor
Araştırmacılar, kampanyanın kimlik avı ve kimlik bilgileri toplama salgınını ve kimlik doğrulamanın ileriye yönelik ne anlama geldiğini daha geniş bir perspektifle ortaya koyduğunu belirtiyor.
Keeper Security'nin CEO'su ve kurucu ortağı Darren Guccione, kimlik avının karmaşıklık düzeyi açısından gelişmeye devam ettiğini ve bunun da bir güvenlik önlemi olarak hareket etmesi gerektiğini söylüyor. İşletmelere net uyarıYüksek risk seviyesi göz önüne alındığında.
"Her seviyedeki kötü aktörler, kurbanlarını cezbetmek için gerçekçi görünümlü e-posta şablonları ve kötü amaçlı web siteleri gibi estetik temelli taktikler kullanarak kimlik avı dolandırıcılığı düzenliyor, ardından geçerli sahibinin erişimini engelleyen kimlik bilgilerini değiştirerek hesaplarını ele geçiriyor." Dark Reading'e anlatıyor. "[Bunun gibi] bir satıcı kimliğine bürünme saldırısında, siber suçlular yasal bir e-posta adresinden kimlik avı e-postaları göndermek için çalıntı kimlik bilgilerini kullandığında, bu tehlikeli taktik daha da ikna edicidir çünkü e-posta tanıdık bir kaynaktan gelmektedir."
Modern kimlik avlarının çoğu aynı zamanda güvenli e-posta ağ geçitlerini atlayabilir ve hatta sahtecilik yapabilir veya çökertebilir. iki faktörlü kimlik doğrulama (2FA) satıcılarıBolster ürün pazarlama müdürü Monnia Deng, sosyal mühendisliğin genel olarak bulut, mobilite ve uzaktan çalışma çağında olağanüstü derecede etkili olduğunu ekliyor.
"Herkes çevrimiçi deneyiminin hızlı ve kolay olmasını beklediğinde insan hatası kaçınılmaz oluyor ve bu kimlik avı kampanyaları giderek daha akıllı hale geliyor" diyor. Rekor sayıdaki kimlik avı saldırılarından üç makro eğilimin sorumlu olduğunu ekliyor: "İş sürekliliği için pandeminin tetiklediği dijital platformlara geçiş, kolayca kimlik avı kitleri satın alabilen ve hatta kimlik avı satın alabilen büyüyen senaryo çocukları ordusu. abonelik hizmeti ve kimlik avı e-postasından tedarik zinciri saldırısı oluşturabilecek teknoloji platformlarının birbirine bağımlılığı.
Dolayısıyla gerçek şu ki Dark Web, çalınan kullanıcı adları ve şifrelerden oluşan büyük önbelleklere ev sahipliği yapıyor; Büyük veri dökümleri alışılmadık bir durum değil ve yalnızca kimlik bilgisi doldurma ve kaba kuvvet saldırılarını değil, aynı zamanda ek kimlik avı çabalarını da teşvik ediyor.
Örneğin, tehdit aktörlerinin, kimlik avı göndermek için kullandıkları e-posta hesabını ele geçirmek için yakın zamanda gerçekleşen First American Financial ihlalinden elde edilen bilgileri kullanmış olması mümkündür; bu olay kişisel bilgiler içeren 800 milyon belgeyi açığa çıkardı.
Benishti, "Veri ihlalleri veya sızıntılarının yarı ömrü insanların düşündüğünden daha uzundur" diyor. "İlk Amerikan Mali ihlali Mayıs 2019'da gerçekleşti, ancak ifşa edilen kişisel veriler yıllar sonra silah haline getirilebilir."
Bu hareketli piyasayı ve onun içinde faaliyet gösteren vurguncuları engellemek için parolanın ötesine bakmanın zamanının geldiğini ekliyor.
Benishti, "Şifreler giderek artan karmaşıklık ve dönüş sıklığı gerektiriyor, bu da güvenlik tükenişine yol açıyor" diyor. "Birçok kullanıcı, karmaşık şifreler oluşturma çabası nedeniyle güvensiz olma riskini kabul ediyor çünkü doğru olanı yapmak çok karmaşık hale geliyor. Çok faktörlü kimlik doğrulama yardımcı olur ancak bu, kurşun geçirmez bir çözüm değildir. Dijital dünyada söylediğiniz kişi olduğunuzu doğrulamak ve ihtiyaç duyduğunuz kaynaklara erişebilmek için köklü bir değişikliğe ihtiyaç var.”
Kimlik Avı Tsunamisiyle Nasıl Mücadele Edilir?
Proofpoint'ten Kalember, yaygın parolasız yaklaşımların hâlâ çok uzakta olduğu bir ortamda, kimlik avıyla mücadelede temel kullanıcı farkındalığı ilkelerinin başlangıç noktası olduğunu söylüyor.
"İnsanlar tüm istenmeyen iletişimlere, özellikle de kullanıcıdan bir eki indirme veya açma, bir bağlantıya tıklama veya kişisel veya finansal bilgiler gibi kimlik bilgilerini açıklama gibi işlem yapmasını talep eden iletişimlere dikkatle yaklaşmalı" diyor.
Ayrıca, herkesin kullandığı her hizmette iyi şifre hijyeni öğrenmesi ve uygulaması kritik önem taşıyor, diye ekliyor Benishti: "Ve eğer bilgilerinizin bir ihlale karışmış olabileceği konusunda bir bildirim alırsanız, kullandığınız her hizmet için tüm şifrelerinizi sıfırlayın. . Değilse, motive saldırganlar istediklerini elde etmek için her türlü veriyi ve hesabı ilişkilendirmenin akıllıca yollarına sahiptir."
Buna ek olarak, Ironscales tüm çalışanlara düzenli olarak kimlik avı simülasyon testi yapılmasını tavsiye ediyor ve aranması gereken bir dizi kırmızı işarete dikkat çekiyor:
- Kullanıcılar bu kimlik avı saldırısını gönderene yakından bakarak tespit edebilirdi
- Gönderen adresin iade adresiyle eşleştiğinden ve adresin genellikle uğraştıkları işletmeyle eşleşen bir alan adından (URL) olduğundan emin olun.
- Kötü yazım ve dilbilgisi olup olmadığına bakın.
- Fareyi bağlantıların üzerine getirin ve hedefin tam URL'sine/adresine bakın, alışılmadık görünüp görünmediğine bakın.
- Microsoft 365 veya Google Workspace girişi gibi sizden kendileriyle ilişkili olmayan kimlik bilgileri isteyen sitelere karşı her zaman çok dikkatli olun.
