Було виявлено, що тисячі облікових даних Microsoft 365 зберігаються у вигляді відкритого тексту на фішингових серверах у рамках незвичайної цілеспрямованої кампанії зі збору облікових даних проти спеціалістів з нерухомості. За словами дослідників, ці атаки демонструють зростаючий і зростаючий ризик, який представляють традиційні комбінації імені користувача та пароля, особливо в умовах, коли фішинг продовжує зростати у складності, уникаючи базової безпеки електронної пошти.
Дослідники з Ironscales виявили атаку, під час якої кібератаки видавали себе за співробітників двох відомих постачальників фінансових послуг у сфері нерухомості: First American Financial Corp. і United Wholesale Mortgage. За словами аналітиків, кібершахраї використовують облікові записи для розсилки фішингових електронних листів ріелторам, юристам з нерухомості, агентам з прав власності, а також покупцям і продавцям, намагаючись спрямувати їх на підроблені сторінки входу Microsoft 365 для захоплення облікових даних.
Електронні листи сповіщають про те, що вкладені документи необхідно переглянути або що вони мають нові повідомлення, розміщені на захищеному сервері, відповідно до Розміщення 15 вер на похід від Ironscales. В обох випадках вбудовані посилання спрямовують одержувачів на підроблені сторінки входу з проханням увійти в Microsoft 365.
Перейшовши на шкідливу сторінку, дослідники помітили незвичайний поворот у провадженні: зловмисники намагалися максимально використати час, проведений із жертвами, намагаючись витягнути кілька паролів під час кожного сеансу фішингу.
«Кожна спроба надіслати ці 365 облікових даних повертала помилку та спонукала користувача повторити спробу», — йдеться в записі дослідників. «Користувачі, як правило, надсилають ті самі облікові дані принаймні ще один раз, перш ніж спробувати варіанти інших паролів, які вони могли використовувати в минулому, забезпечуючи золоту жилу облікових даних для злочинців, які можна продавати або використовувати в атаках грубою силою або підміною облікових даних. отримати доступ до популярних фінансових або соціальних мереж».
Ретельне ставлення до жертв за допомогою добре продуманого плану є одним із найпомітніших аспектів кампанії, розповідає Dark Reading Еял Бенішті, засновник і генеральний директор Ironscales.
«Це буде далі людей, які працюють у сфері нерухомості (агенти з нерухомості, агенти з прав власності, юристи з нерухомості), використовуючи фішинговий шаблон електронної пошти, який підробляє дуже знайомий бренд і знайомий заклик до дії («перегляньте ці безпечні документи» або «прочитайте це безпечне повідомлення»)», — каже він.
Незрозуміло, наскільки далеко може розгорнутися кампанія, але розслідування компанії показало, що на даний момент піддано фішингу принаймні тисячі.
«Загальна кількість людей, які займалися фішингом, невідома, ми досліджували лише кілька випадків, які стосувалися наших клієнтів», — каже Бенішті. «Але лише з невеликої вибірки, яку ми проаналізували, було знайдено понад 2,000 унікальних наборів облікових даних у понад 10,000 XNUMX спробах подання (багато користувачів надавали ті самі або альтернативні облікові дані кілька разів)».
Ризик для жертв високий: операції, пов’язані з нерухомістю, часто стають мішенню для складних шахрайських шахрайств, особливо транзакцій за участю компаній, що займаються нерухомістю.
«Грунтуючись на тенденціях і статистиці, ці зловмисники, ймовірно, хочуть використовувати облікові дані, щоб дозволити їм перехоплювати/направляти/перенаправляти банківські перекази, пов’язані з операціями з нерухомістю», — каже Бенішті.
Microsoft Safe Links не працює
Також примітно (і на жаль) у цій конкретній кампанії те, що базовий контроль безпеки, очевидно, не працював.
Під час початкового раунду фішингу URL-адреса, на яку просили клацнути цільові особи, не намагалася приховатися, зазначили дослідники — коли наводити курсор на посилання, відображалася URL-адреса з червоним прапорцем: «https://phishingsite.com». /folde…[точка]shtm.”
Однак наступні хвилі приховали адресу за URL-адресою безпечних посилань — функцією Microsoft Defender, яка має сканувати URL-адреси, щоб виявити шкідливі посилання. Безпечне посилання замінює посилання іншою URL-адресою за допомогою спеціальної номенклатури після того, як це посилання буде проскановано та визнано безпечним.
У цьому випадку інструмент лише ускладнив візуальну перевірку фактичного «це фішинг!» посилання, а також дозволив повідомленням легше проходити через фільтри електронної пошти. Microsoft не відповіла на запит про коментар.
«Safe Links має кілька відомих недоліків, і створення помилкового відчуття безпеки є значним недоліком у цій ситуації», — каже Бенішті. «Safe Links не виявив жодних ризиків або обману, пов’язаних з оригінальним посиланням, але переписав посилання так, ніби воно було. Користувачі та багато фахівців із безпеки отримують хибне відчуття безпеки через наявність засобів контролю безпеки, але цей контроль значною мірою неефективний».
Також зауважте: в електронних листах United Wholesale Mortgage це повідомлення також було позначено як «Сповіщення електронною поштою безпечного типу», включало застереження щодо конфіденційності та містило підроблений банер «Захищено шифруванням Proofpoint».
Райан Калембер, виконавчий віце-президент зі стратегії кібербезпеки в Proofpoint, сказав, що його компанії не звичайні випадки викрадення бренду, додавши, що фальшиве використання її назви насправді є відомою технікою кібератак, на яку перевіряються продукти компанії.
Це гарне нагадування про те, що користувачі не можуть покладатися на брендинг для визначення правдивості повідомлення, зазначає він: «Актори загроз часто прикидаються відомими брендами, щоб спонукати своїх цілей розголошувати інформацію», — каже він. «Вони також часто видають себе за відомих постачальників засобів безпеки, щоб додати легітимності своїм фішинговим електронним листам».
Навіть погані хлопці роблять помилки
Тим часом, можливо, не лише фішери OG отримують вигоду від викрадених облікових даних.
Під час аналізу кампанії дослідники виявили в електронних листах URL-адресу, якої там не повинно було бути: шлях, який вказує на каталог файлів комп’ютера. У цьому каталозі містилися незаконні прибутки кіберзлочинців, тобто кожна окрема комбінація електронної пошти та пароля, надіслана на цей конкретний фішинговий сайт, зберігалася у відкритому текстовому файлі, доступ до якого міг мати будь-хто.
«Це був абсолютно нещасний випадок, — каже Бенішті. «Результат неакуратної роботи або, швидше за все, незнання, якщо вони використовують набір для фішингу, розроблений кимось іншим — на чорному ринку можна придбати безліч».
Сервери підроблених веб-сторінок (і файли відкритого тексту) були швидко закриті або видалені, але, як зазначив Бенішті, ймовірно, що фішинговий набір, який використовують зловмисники, відповідальний за збій відкритого тексту — це означає, що вони «продовжуватимуть надавати свої вкрадені облікові дані доступними». до світу».
Викрадені облікові дані, більше хитромудрості підживлює шаленство фішу
Кампанія ширше розглядає епідемію фішингу та збирання облікових даних — і те, що це означає для автентифікації в майбутньому, відзначають дослідники.
Даррен Гуччіоне, генеральний директор і співзасновник Keeper Security, каже, що фішинг продовжує розвиватися з точки зору його складності, яка має діяти як ясне попередження підприємствам, враховуючи підвищений рівень ризику.
«Зловмисники на всіх рівнях створюють фішингові шахрайства, використовуючи естетичні тактики, такі як реалістичні шаблони електронної пошти та шкідливі веб-сайти, щоб заманити своїх жертв, а потім заволодіти їхнім обліковим записом, змінивши облікові дані, що перешкоджає доступу дійсного власника», — розповідає він Dark Reading. «У атаці з уособленням постачальника [як ця], коли кіберзлочинці використовують викрадені облікові дані для надсилання фішингових електронних листів із законної електронної адреси, ця небезпечна тактика ще більш переконлива, оскільки електронний лист походить із знайомого джерела».
Більшість сучасних фішів також можуть обходити захищені шлюзи електронної пошти і навіть підробляти або підривати постачальники двофакторної автентифікації (2FA)., – додає Моннія Денг, директор із маркетингу продуктів у Bolster, тоді як соціальна інженерія загалом є надзвичайно ефективною в часи хмар, мобільності та віддаленої роботи.
«Коли всі очікують, що їхні роботи в Інтернеті будуть швидкими та легкими, людська помилка неминуча, і ці фішингові кампанії стають все більш розумними», — каже вона. Вона додає, що за рекордну кількість атак, пов’язаних із фішингом, відповідальні три макротенденції: «Спричинений пандемією перехід на цифрові платформи для безперервності бізнесу, зростаюча армія сценаристів, які можуть легко придбати набори для фішингу або навіть купити фішинг як послуги передплати та взаємозалежність технологічних платформ, які можуть спричинити атаку на ланцюг поставок за допомогою фішингового електронного листа».
Таким чином, реальність така, що Dark Web містить великі сховища вкрадених імен користувачів і паролів; Дампи великих даних не є рідкістю, і вони, у свою чергу, стимулюють не лише підміну облікових даних і атаки грубої сили, але й додаткові спроби фішингу.
Наприклад, цілком можливо, що зловмисники використовували інформацію з нещодавнього злому First American Financial, щоб скомпрометувати обліковий запис електронної пошти, який вони використовували для надсилання фішів; цей інцидент виявив 800 мільйонів документів, що містять особисту інформацію.
«Порушення даних або витік даних мають довший період напіврозпаду, ніж люди думають», — каже Бенішті. «Перший американський фінансовий злом стався в травні 2019 року, але розкриті особисті дані можуть бути використані як зброя через роки».
Щоб перешкодити цьому жвавому ринку та спекулянтам, які працюють на ньому, настав час вийти за рамки пароля, додає він.
«Паролі вимагають дедалі більшої складності та частоти чергування, що призводить до втрати безпеки», — каже Бенішті. «Багато користувачів приймають ризик бути невпевненими у створенні складних паролів, тому що робити правильні речі дуже складно. Багатофакторна автентифікація допомагає, але це не куленепробивне рішення. Потрібні фундаментальні зміни, щоб підтвердити, що ви є тим, за кого себе видаєте, у цифровому світі та отримати доступ до ресурсів, які вам потрібні».
Як боротися з фішинговим цунамі
У зв’язку з тим, що широко розповсюджені безпарольні підходи ще далеко, Kalember з Proofpoint каже, що боротися з фішингом варто почати з основних принципів обізнаності користувачів.
«Людям слід обережно підходити до будь-яких небажаних повідомлень, особливо до тих, які вимагають від користувача певних дій, таких як завантаження або відкриття вкладення, клацання посилання або розкриття облікових даних, таких як особиста чи фінансова інформація», — говорить він.
Крім того, надзвичайно важливо, щоб кожен навчився та практикував надійну гігієну паролів у кожній службі, якою вона користується, додає Бенішті: «І якщо ви коли-небудь отримаєте сповіщення про те, що ваша інформація могла бути залучена до зламу, скиньте всі свої паролі для кожної служби, якою ви користуєтеся. . Якщо ні, вмотивовані зловмисники мають хитрі способи співвіднести всі види даних і облікових записів, щоб отримати те, що вони хочуть».
Крім того, Ironscales рекомендує регулярне тестування симуляції фішингу для всіх співробітників і назвав набір емпіричних правил, на які слід звернути увагу:
- Користувачі могли визначити цю фішингову атаку, уважно подивившись на відправника
- Переконайтеся, що адреса відправника збігається з адресою для повернення, а адреса походить із домену (URL), який зазвичай відповідає компанії, з якою вони працюють.
- Шукайте неправильне написання та граматику.
- Наведіть вказівник миші на посилання та подивіться на повну URL-адресу цільової адреси, перевірте, чи не виглядає вона незвичною.
- Завжди будьте дуже обережні щодо сайтів, які запитують облікові дані, не пов’язані з ними, наприклад Microsoft 365 або Google Workspace.
