ایک وسیع اور غیر معمولی فشنگ مہم eFax اطلاعات کی جعل سازی کر رہا ہے اور ایک سمجھوتہ شدہ Dynamics 365 Customer Voice بزنس اکاؤنٹ استعمال کر رہا ہے تاکہ متاثرین کو microsoft.com کے صفحات کے ذریعے اپنی اسناد سے دستبردار ہونے پر آمادہ کر سکے۔
دھمکی آمیز اداکاروں نے وسیع پیمانے پر پھیلائی گئی مہم کے ذریعے درجنوں کمپنیوں کو نشانہ بنایا ہے، جو کہ ہے۔ مائیکروسافٹ 365 کو نشانہ بنانا کوفینس فشنگ ڈیفنس سینٹر (PDC) کے محققین نے بدھ کو شائع ہونے والی ایک بلاگ پوسٹ میں انکشاف کیا کہ توانائی، مالیاتی خدمات، تجارتی رئیل اسٹیٹ، خوراک، مینوفیکچرنگ، اور یہاں تک کہ فرنیچر سازی سمیت مختلف شعبوں کے صارفین۔
مہم صارفین کو ایک ایسے صفحہ پر کلک کرنے کی طرف راغب کرنے کے لیے عام اور غیر معمولی حربوں کا استعمال کرتی ہے جو بظاہر انہیں eFax سروس کے لیے کسٹمر فیڈ بیک سروے کی طرف لے جاتا ہے، لیکن اس کے بجائے ان کی اسناد چرا لیتی ہے۔
حملہ آور ملٹی اسٹیج کوششوں کے کئی مراحل میں متعدد microsoft.com صفحات پر میزبانی کے مواد کو استعمال کرکے نہ صرف eFax بلکہ Microsoft کی بھی نقالی کرتے ہیں۔ کوفنس کے انٹیلی جنس تجزیہ مینیجر جوزف گیلپ کا کہنا ہے کہ یہ گھوٹالا ان متعدد فشنگ مہموں میں سے ایک ہے جن کا مشاہدہ کوفینس نے موسم بہار کے بعد سے کیا ہے جو اسی طرح کا حربہ استعمال کرتے ہیں۔
"اس سال کے اپریل میں، ہم نے ایمبیڈڈ ncv[.]microsoft[.]com سروے کے لنکس کا استعمال کرتے ہوئے فشنگ ای میلز کا ایک نمایاں حجم دیکھنا شروع کیا جو اس مہم میں استعمال کیا گیا تھا،" وہ ڈارک ریڈنگ کو بتاتا ہے۔
حکمت عملی کا مجموعہ
فشنگ ای میلز روایتی لالچ کا استعمال کرتی ہیں، یہ دعویٰ کرتی ہیں کہ وصول کنندہ کو 10 صفحات پر مشتمل کارپوریٹ ای فیکس موصول ہوا ہے جو اس کی توجہ کا مطالبہ کرتا ہے۔ لیکن اس کے بعد چیزیں شکستہ راستے سے ہٹ جاتی ہیں، Cofense PDC کے ناتھانیئل سگی بندہ نے وضاحت کی۔ بدھ کی پوسٹ.
ممکنہ طور پر وصول کنندہ اس پیغام کو کھولے گا کہ اس کا تعلق کسی دستاویز سے ہے جس پر دستخط کی ضرورت ہے۔ "تاہم، یہ وہ نہیں ہے جو ہم دیکھتے ہیں جب آپ پیغام کا حصہ پڑھتے ہیں،" انہوں نے لکھا۔
اس کے بجائے، ای میل میں وہ شامل ہے جو ایک منسلک، بے نام پی ڈی ایف فائل کی طرح لگتا ہے جو ایک فیکس سے ڈیلیور کی گئی ہے جس میں ایک اصل فائل شامل ہے - گیلپ کے مطابق، فشنگ ای میل کی ایک غیر معمولی خصوصیت۔
"جبکہ بہت ساری اسناد کی فشنگ مہمات میزبان فائلوں کے لنکس کا استعمال کرتی ہیں، اور کچھ اٹیچمنٹ کا استعمال کرتی ہیں، لیکن یہ کم عام ہے کہ ایمبیڈڈ لنک کو منسلکہ کے طور پر ظاہر کیا جائے،" انہوں نے لکھا۔
پیغام میں پلاٹ مزید موٹا ہو جاتا ہے، جس میں ایک فوٹر ہوتا ہے جس سے ظاہر ہوتا ہے کہ یہ ایک سروے سائٹ تھی - جیسا کہ جو صارفین کی رائے فراہم کرنے کے لیے استعمال ہوتی تھی - جس نے پوسٹ کے مطابق پیغام تیار کیا۔
کسٹمر سروے کی نقل کرنا
محققین نے کہا کہ جب صارفین لنک پر کلک کرتے ہیں، تو انہیں مائیکروسافٹ ڈائنامکس 365 صفحہ کے ذریعے پیش کردہ eFax حل والے صفحہ کی قائل کرنے والی تقلید کی طرف ہدایت کی جاتی ہے، جس سے حملہ آوروں نے سمجھوتہ کیا ہے۔
اس صفحہ میں ایک دوسرے صفحہ کا لنک شامل ہے، جو بظاہر ای فیکس سروس پر تاثرات فراہم کرنے کے لیے مائیکروسافٹ کسٹمر وائس سروے کی طرف لے جاتا ہے، لیکن اس کے بجائے متاثرین کو مائیکروسافٹ لاگ ان صفحہ پر لے جاتا ہے جو ان کی اسناد کو بڑھاتا ہے۔
محققین نے کہا کہ اس صفحہ پر قانونی حیثیت کو مزید بڑھانے کے لیے، دھمکی دینے والے اداکار نے جعلی سروس کی تفصیلات کے لیے eFax کے حل کی ایک ویڈیو کو سرایت کر دیا، جس میں صارف کو کسی بھی پوچھ گچھ کے لیے "@eFaxdynamic365" سے رابطہ کرنے کی ہدایت کی گئی۔
انہوں نے مزید کہا کہ صفحہ کے نیچے "جمع کروائیں" بٹن اضافی تصدیق کے طور پر بھی کام کرتا ہے کہ دھمکی دینے والے اداکار نے گھوٹالے میں حقیقی مائیکروسافٹ کسٹمر وائس فیڈ بیک فارم ٹیمپلیٹ استعمال کیا۔
سگی بندہ نے لکھا، حملہ آوروں نے پھر "وصول کنندہ کو لنک پر کلک کرنے کے لیے آمادہ کرنے کے لیے جعلی ای فیکس معلومات" کے ساتھ ٹیمپلیٹ میں ترمیم کی، جو کہ ایک غلط مائیکروسافٹ لاگ ان صفحہ کی طرف جاتا ہے جو ان کی اسناد کو حملہ آوروں کے زیر اہتمام بیرونی یو آر ایل پر بھیجتا ہے۔
ایک تربیت یافتہ آنکھ کو بے وقوف بنانا
Gallop کا کہنا ہے کہ جب کہ اصل مہمات بہت آسان تھیں — بشمول Microsoft سروے پر میزبانی کی گئی کم سے کم معلومات — eFax سپوفنگ مہم مہم کی قانونی حیثیت کو مزید تقویت بخشتی ہے۔
اس کے ملٹی اسٹیج ہتھکنڈوں اور دوہری نقالی کا امتزاج پیغامات کو محفوظ ای میل گیٹ ویز کے ذریعے پھسلنے کے ساتھ ساتھ کارپوریٹ صارفین کے سب سے ذہین کو بھی بے وقوف بنا سکتا ہے جنہیں فشنگ گھوٹالوں کی نشاندہی کرنے کی تربیت دی گئی ہے۔
گیلپ کا کہنا ہے کہ "صرف وہ صارف جو پورے عمل کے دوران ہر مرحلے پر یو آر ایل بار کو چیک کرتے رہتے ہیں وہ اس کی شناخت فشنگ کی کوشش کے طور پر یقینی بنائیں گے۔"
بے شک، سائبرسیکیوریٹی فرم ویڈ کا ایک سروے بدھ کو بھی جاری کیا گیا ہے کہ برانڈ کی نقالی بدستور سب سے اوپر والا ٹول ہے جسے فشرز نقصان دہ ای میلز پر کلک کرنے کے لیے متاثرین کو دھوکہ دینے کے لیے استعمال کرتے ہیں۔
درحقیقت، حملہ آوروں نے 2022 کی پہلی ششماہی میں مشاہدہ کی گئی مہموں میں اکثر مائیکروسافٹ کی شخصیت کو اپنایا، محققین نے پایا، حالانکہ فیس بک اس سال اب تک کی جانے والی فشنگ مہموں میں سب سے زیادہ نقالی برانڈ ہے۔
فشنگ گیم مضبوط رہتا ہے۔
گیلپ کا کہنا ہے کہ اس وقت محققین نے اس بات کی نشاندہی نہیں کی ہے کہ اس گھوٹالے کے پیچھے کون ہوسکتا ہے، اور نہ ہی حملہ آوروں کے اسناد چوری کرنے کے مخصوص مقاصد۔
ویڈ رپورٹ کے مطابق، مجموعی طور پر فشنگ دھمکی دینے والے اداکاروں کے لیے متاثرین سے سمجھوتہ کرنے کے لیے سب سے آسان اور سب سے زیادہ استعمال کیے جانے والے طریقوں میں سے ایک ہے، نہ صرف اسناد چوری کرنے کے لیے بلکہ نقصان دہ سافٹ ویئر بھی پھیلاتے ہیں، کیونکہ ای میل سے پیدا ہونے والے میلویئر کو ریموٹ حملوں کے مقابلے میں تقسیم کرنا نمایاں طور پر آسان ہے۔ .
درحقیقت، اس قسم کے حملے میں سال کی دوسری سہ ماہی کے دوران مہینہ بہ ماہ اضافہ دیکھا گیا اور پھر جون میں ایک اور اضافہ ہوا جس نے "ای میلز کو خطرناک مقدار میں واپس دھکیل دیا جو جنوری 2022 کے بعد سے نہیں دیکھا گیا،" جب ویڈے نے 100 سے اوپر کی طرف دیکھا۔ تقسیم میں ملین فشنگ ای میلز۔
"جس نسبتاً آسانی کے ساتھ ہیکرز سائبر حملوں کو ای میل کے ذریعے سزا دے سکتے ہیں، ای میل کو حملے کے لیے سرفہرست ویکٹر اور کاروباروں اور اختتامی صارفین کے لیے مستقل خطرہ بناتا ہے،" ویڈ کی نٹالی پیٹیٹو نے رپورٹ میں لکھا۔ "فریشنگ ای میلز ان برانڈز کی نقالی کرتی ہیں جن پر آپ سب سے زیادہ بھروسہ کرتے ہیں، ممکنہ متاثرین کا ایک وسیع جال اور برانڈز کے طور پر نقاب پوش فشروں کے لیے قانونی جواز پیش کرتے ہیں۔"
