Ayrıntılı ve oldukça sıradışı kimlik avı kampanyası eFax bildirimlerinde sahtecilik yapıyor ve kurbanları microsoft.com sayfaları aracılığıyla kimlik bilgilerini vermeye ikna etmek için ele geçirilmiş bir Dynamics 365 Customer Voice iş hesabını kullanıyor.
Tehdit aktörleri, geniş çapta yayılan kampanya aracılığıyla düzinelerce şirketi hedef aldı. Microsoft 365'i hedefleme Cofense Kimlik Avı Savunma Merkezi'nden (PDC) araştırmacılar, Çarşamba günü yayınlanan bir blog yazısında enerji, finansal hizmetler, ticari gayrimenkul, gıda, imalat ve hatta mobilya yapımı dahil olmak üzere çok çeşitli sektörlerden kullanıcıların bu saldırıları gerçekleştirdiğini ortaya çıkardı.
Kampanya, kullanıcıları bir eFax hizmeti için müşteri geri bildirim anketine yönlendiriyor gibi görünen bir sayfayı tıklamaya ikna etmek için yaygın ve alışılmadık taktiklerin bir kombinasyonunu kullanıyor, ancak bunun yerine kimlik bilgilerini çalıyor.
Saldırganlar, çok aşamalı çalışmanın çeşitli aşamalarında birden fazla microsoft.com sayfasında barındırılan içeriği kullanarak yalnızca eFax'ı değil aynı zamanda Microsoft'u da taklit ederler. Cofense istihbarat analiz müdürü Joseph Gallop, dolandırıcılığın Cofense'in bahardan bu yana gözlemlediği ve benzer bir taktiği kullanan bir dizi kimlik avı kampanyasından biri olduğunu söylüyor.
Dark Reading'e şunları söyledi: "Bu yılın Nisan ayında, bu kampanyada kullanılan türden yerleşik ncv[.]microsoft[.]com anket bağlantılarını kullanan önemli miktarda kimlik avı e-postası görmeye başladık".
Taktiklerin Kombinasyonu
Kimlik avı e-postaları, alıcının dikkatini gerektiren 10 sayfalık bir kurumsal eFax aldığını iddia ederek geleneksel bir yem kullanıyor. Ancak Cofense PDC'den Nathaniel Sagibanda, bundan sonra işlerin alışılmış yoldan farklılaştığını söyledi. Çarşamba postası.
Alıcı büyük olasılıkla mesajın imza gerektiren bir belgeyle ilgili olduğunu düşünerek açacaktır. "Ancak mesajın metnini okuduğunuzda gördüğümüz şey bu değil" diye yazdı.
Bunun yerine, e-posta, Gallop'a göre kimlik avı e-postasının alışılmadık bir özelliği olan, gerçek bir dosya içeren bir fakstan gönderilen, ekli, adsız bir PDF dosyası içeriyor.
"Kimlik bilgisi avı kampanyalarının birçoğu barındırılan dosyalara bağlantılar kullanırken ve bazıları ekleri kullanırken, ek olarak görünen gömülü bir bağlantının görülmesi daha az yaygındır" diye yazdı.
Gönderiye göre, mesajı oluşturanın (müşteri geri bildirimi sağlamak için kullanılanlar gibi) bir anket sitesi olduğunu belirten bir altbilgi içeren mesajda olay örgüsü daha da yoğunlaşıyor.
Müşteri Anketini Taklit Etme
Araştırmacılar, kullanıcılar bağlantıyı tıklattıklarında, saldırganların ele geçirdiği bir Microsoft Dynamics 365 sayfası tarafından oluşturulan eFax çözüm sayfasının ikna edici bir taklidine yönlendirildiklerini söyledi.
Bu sayfa, eFax hizmeti hakkında geri bildirim sağlamak için bir Microsoft Müşteri Sesi anketine yönlendiren, ancak bunun yerine kurbanları kimlik bilgilerini sızdıran bir Microsoft oturum açma sayfasına yönlendiren başka bir sayfaya bağlantı içerir.
Araştırmacılar, bu sayfanın meşruiyetini daha da artırmak için, tehdit aktörünün sahte hizmet ayrıntılarına yönelik eFax çözümlerinin bir videosunu yerleştirecek kadar ileri gittiğini ve kullanıcıya herhangi bir soru için "@eFaxdynamic365" ile iletişime geçmesi talimatını verdiğini söyledi.
Sayfanın alt kısmındaki "Gönder" düğmesinin aynı zamanda tehdit aktörünün dolandırıcılıkta gerçek bir Microsoft Müşteri Sesi geri bildirim formu şablonu kullandığına dair ek bir onay işlevi gördüğünü de eklediler.
Sagibanda, saldırganların daha sonra şablonu "alıcıyı bağlantıya tıklamaya ikna etmek için sahte eFax bilgileri" ile değiştirdiğini ve bunun da kimlik bilgilerini saldırganlar tarafından barındırılan harici bir URL'ye gönderen sahte bir Microsoft oturum açma sayfasına yol açtığını yazdı.
Eğitimli Bir Gözü Kandırmak
Gallop, orijinal kampanyaların çok daha basit olmasına rağmen (yalnızca Microsoft anketinde barındırılan minimum bilgi dahil), eFax sahtekarlığı kampanyasının kampanyanın meşruiyetini güçlendirmek için daha da ileri gittiğini söylüyor.
Çok aşamalı taktikler ve ikili kimliğe bürünme kombinasyonunun, mesajların güvenli e-posta ağ geçitlerinden geçmesine olanak verebileceğini ve kimlik avı dolandırıcılıklarını tespit etmek üzere eğitilmiş en bilgili kurumsal kullanıcıları bile kandırabileceğini belirtiyor.
Gallop, "Yalnızca tüm süreç boyunca her aşamada URL çubuğunu kontrol etmeye devam eden kullanıcılar bunu bir kimlik avı girişimi olarak tanımlayacaklardır" diyor.
Aslında, Siber güvenlik firması Vade tarafından yapılan bir anket ayrıca Çarşamba günü yayımlanan şunu buldu marka kimliğine bürünme Kimlik avcılarının kurbanları kötü amaçlı e-postalara tıklamaları için kandırmak amacıyla kullandıkları en önemli araç olmaya devam ediyor.
Araştırmacılar, saldırganların 2022'nin ilk yarısında gözlemlenen kampanyalarda en çok Microsoft'un kişiliğini ele geçirdiğini, ancak Facebook'un bu yıl şimdiye kadar gözlemlenen kimlik avı kampanyalarında en çok taklit edilen marka olmaya devam ettiğini buldu.
Kimlik Avı Oyunu Güçlü Kalmaya Devam Ediyor
Gallop, şu anda araştırmacıların bu dolandırıcılığın arkasında kimin olabileceğini veya saldırganların kimlik bilgilerini çalmaya yönelik özel nedenlerini tespit edemediklerini söylüyor.
Vade raporuna göre, e-postayla taşınan kötü amaçlı yazılımların dağıtılması uzaktan saldırılara göre önemli ölçüde daha kolay olduğundan, kimlik avı genel olarak tehdit aktörlerinin yalnızca kimlik bilgilerini çalmak için değil, aynı zamanda kötü amaçlı yazılım yaymak için kurbanların güvenliğini aşmasının en kolay ve en sık kullanılan yollarından biri olmayı sürdürüyor. .
Aslında, bu tür saldırılar yılın ikinci çeyreğinde aydan aya artışlar gördü ve ardından Haziran ayında Vade'in 2022'den fazla sayıyı gördüğü "e-postaları Ocak 100'den bu yana görülmeyen endişe verici hacimlere geri döndüren" bir başka artış görüldü. milyon kimlik avı e-postası dağıtımda.
Vade'den Natalie Petitto raporda şunları yazdı: "Bilgisayar korsanlarının e-posta yoluyla cezalandırıcı siber saldırılar gerçekleştirmesinin göreceli kolaylığı, e-postayı en büyük saldırı vektörlerinden biri haline getiriyor ve işletmeler ve son kullanıcılar için sürekli bir tehdit haline getiriyor." "Kimlik avı e-postaları, en çok güvendiğiniz markaların kimliğine bürünür, geniş bir potansiyel kurban ağı sunar ve marka kılığına giren kimlik avcıları için bir meşruiyet kisvesi sunar."
