Hàng nghìn thông tin xác thực Microsoft 365 đã được phát hiện được lưu trữ dưới dạng văn bản gốc trên các máy chủ lừa đảo, như một phần của chiến dịch thu thập thông tin xác thực có chủ đích, bất thường nhằm vào các chuyên gia bất động sản. Các nhà nghiên cứu cho biết, các cuộc tấn công cho thấy nguy cơ ngày càng tăng mà các kết hợp tên người dùng-mật khẩu truyền thống hiện diện, đặc biệt là khi hành vi lừa đảo tiếp tục phát triển tinh vi, trốn tránh bảo mật email cơ bản.
Các nhà nghiên cứu từ Ironscales đã phát hiện ra cuộc tấn công, trong đó những kẻ tấn công mạng đóng giả làm nhân viên của hai nhà cung cấp dịch vụ tài chính nổi tiếng trong lĩnh vực bất động sản: First American Financial Corp. và United Wholesale Mortgage. Các nhà phân tích cho biết, bọn tội phạm mạng đang sử dụng các tài khoản này để gửi email lừa đảo đến các nhà môi giới bất động sản, luật sư bất động sản, đại lý quyền sở hữu cũng như người mua và người bán, nhằm hướng họ giả mạo các trang đăng nhập Microsoft 365 để lấy thông tin xác thực.
Theo một báo cáo, các email cảnh báo rằng các tài liệu đính kèm cần được xem xét hoặc chúng có các tin nhắn mới được lưu trữ trên một máy chủ an toàn. Đăng ngày 15 tháng XNUMX trong chiến dịch từ Ironscales. Trong cả hai trường hợp, liên kết nhúng sẽ hướng người nhận đến các trang đăng nhập giả mạo yêu cầu họ đăng nhập vào Microsoft 365.
Khi truy cập vào trang độc hại, các nhà nghiên cứu đã quan sát thấy một bước ngoặt bất thường trong quá trình tố tụng: Những kẻ tấn công cố gắng tận dụng tối đa thời gian của chúng với nạn nhân bằng cách cố gắng lấy ra nhiều mật khẩu từ mỗi phiên lừa đảo.
Theo bài viết của các nhà nghiên cứu, “Mỗi lần thử gửi 365 thông tin xác thực này đều báo lỗi và nhắc người dùng thử lại”. “Người dùng thường sẽ gửi cùng một thông tin xác thực ít nhất một lần nữa trước khi họ thử các biến thể của mật khẩu khác mà họ có thể đã sử dụng trước đây, cung cấp một mỏ vàng thông tin xác thực cho bọn tội phạm bán hoặc sử dụng trong các cuộc tấn công vũ phu hoặc nhồi thông tin xác thực để truy cập các tài khoản tài chính hoặc mạng xã hội phổ biến.”
Eyal Benishti, người sáng lập và Giám đốc điều hành tại Ironscales, nói với Dark Reading rằng việc quan tâm đến việc nhắm mục tiêu vào nạn nhân bằng một kế hoạch được cân nhắc kỹ lưỡng là một trong những khía cạnh đáng chú ý nhất của chiến dịch.
“Việc này đang diễn ra sau những người làm việc trong lĩnh vực bất động sản (đại lý bất động sản, đại lý quyền sở hữu, luật sư bất động sản), sử dụng mẫu lừa đảo qua email giả mạo một thương hiệu rất quen thuộc và lời kêu gọi hành động quen thuộc (“xem lại các tài liệu bảo mật này” hoặc “đọc tin nhắn bảo mật này”),” ông nói.
Không rõ chiến dịch này có thể lan rộng đến đâu, nhưng cuộc điều tra của công ty cho thấy cho đến nay ít nhất hàng nghìn người đã bị lừa đảo.
Benishti cho biết: “Không xác định được tổng số người bị lừa đảo, chúng tôi chỉ điều tra một số trường hợp có liên quan đến khách hàng của chúng tôi”. “Nhưng chỉ từ mẫu nhỏ mà chúng tôi đã phân tích, đã có hơn 2,000 bộ thông tin xác thực duy nhất được tìm thấy trong hơn 10,000 lần gửi (nhiều người dùng đã cung cấp thông tin xác thực giống nhau hoặc thay thế nhiều lần).”
Rủi ro đối với nạn nhân rất cao: Các giao dịch liên quan đến bất động sản thường là mục tiêu của các hoạt động lừa đảo tinh vi, đặc biệt là các giao dịch liên quan đến các công ty quyền sở hữu bất động sản.
Theo Benishti, “Dựa trên các xu hướng và số liệu thống kê, những kẻ tấn công này có thể muốn sử dụng thông tin xác thực để cho phép chúng chặn/trực tiếp/chuyển hướng chuyển khoản liên quan đến giao dịch bất động sản”.
Liên kết an toàn của Microsoft thất bại trong công việc
Cũng đáng chú ý (và không may) trong chiến dịch cụ thể này, việc kiểm soát an ninh cơ bản dường như đã thất bại.
Trong vòng lừa đảo ban đầu, URL mà mục tiêu được yêu cầu nhấp vào đã không cố gắng ẩn đi, các nhà nghiên cứu lưu ý — khi di chuột qua liên kết, một URL vẫy cờ đỏ được hiển thị: “https://phishingsite.com /folde…[dot]shtm.”
Tuy nhiên, các đợt tiếp theo đã ẩn địa chỉ đằng sau URL Liên kết An toàn - một tính năng có trong Microsoft Defender có nhiệm vụ quét URL để phát hiện các liên kết độc hại. Liên kết an toàn ghi đè liên kết bằng một URL khác bằng cách sử dụng danh pháp đặc biệt sau khi liên kết đó được quét và được coi là an toàn.
Trong trường hợp này, công cụ này chỉ khiến việc kiểm tra trực quan khuôn mặt thực tế của bạn trở nên khó khăn hơn “đây là một trò lừa đảo!” liên kết và cũng cho phép các tin nhắn dễ dàng vượt qua các bộ lọc email hơn. Microsoft đã không trả lời yêu cầu bình luận.
Benishti cho biết: “Liên kết an toàn có một số điểm yếu đã biết và việc tạo ra cảm giác an toàn sai lầm là điểm yếu đáng kể trong tình huống này”. “Liên kết an toàn không phát hiện bất kỳ rủi ro hoặc lừa đảo nào liên quan đến liên kết ban đầu mà viết lại liên kết như thể có. Người dùng và nhiều chuyên gia bảo mật có được cảm giác an toàn sai lầm vì đã có biện pháp kiểm soát bảo mật, nhưng biện pháp kiểm soát này phần lớn không hiệu quả.”
Cũng cần lưu ý: Trong các email của United Wholesale Mortgage, thông báo này cũng được gắn cờ là “Thông báo qua email an toàn”, bao gồm tuyên bố từ chối trách nhiệm về bảo mật và hiển thị biểu ngữ “Được bảo mật bằng mã hóa Proofpoint” giả mạo.
Ryan Kalember, phó chủ tịch điều hành chiến lược an ninh mạng tại Proofpoint, nói rằng công ty của ông không lạ gì với việc bị chiếm đoạt thương hiệu, đồng thời nói thêm rằng việc sử dụng tên công ty giả mạo trên thực tế là một kỹ thuật tấn công mạng đã biết mà các sản phẩm của công ty quét tìm.
Ông lưu ý: “Những kẻ đe dọa thường giả vờ là các thương hiệu nổi tiếng để lôi kéo mục tiêu của họ tiết lộ thông tin,” ông lưu ý. “Họ cũng thường mạo danh các nhà cung cấp bảo mật nổi tiếng để tăng thêm tính hợp pháp cho các email lừa đảo của họ.”
Ngay cả kẻ xấu cũng mắc sai lầm
Trong khi đó, có thể không chỉ những kẻ lừa đảo OG mới được hưởng lợi từ thông tin đăng nhập bị đánh cắp.
Trong quá trình phân tích chiến dịch, các nhà nghiên cứu đã phát hiện ra một URL đáng lẽ không nên có trong các email: một đường dẫn trỏ đến thư mục tệp máy tính. Bên trong thư mục đó là những lợi ích bất chính của tội phạm mạng, tức là mọi tổ hợp email và mật khẩu được gửi đến trang web lừa đảo cụ thể đó, được lưu giữ trong một tệp văn bản rõ ràng mà bất kỳ ai cũng có thể truy cập được.
“Đây hoàn toàn là một tai nạn,” Benishti nói. “Kết quả của công việc cẩu thả, hoặc nhiều khả năng là do thiếu hiểu biết nếu họ đang sử dụng bộ công cụ lừa đảo do người khác phát triển – có rất nhiều công cụ lừa đảo có sẵn để mua trên thị trường chợ đen.”
Các máy chủ trang web giả mạo (và các tệp văn bản rõ ràng) đã nhanh chóng bị tắt hoặc xóa, nhưng như Benishti lưu ý, có khả năng bộ công cụ lừa đảo mà những kẻ tấn công đang sử dụng là nguyên nhân gây ra trục trặc văn bản rõ ràng — có nghĩa là chúng “sẽ tiếp tục cung cấp thông tin xác thực bị đánh cắp của mình”. với thế giới.”
Thông tin xác thực bị đánh cắp, sự tinh vi hơn tạo ra sự điên cuồng lừa đảo
Các nhà nghiên cứu lưu ý rằng chiến dịch này đưa ra góc nhìn rộng hơn về nạn lừa đảo và thu thập thông tin xác thực – cũng như ý nghĩa của việc xác thực trong tương lai.
Darren Guccione, Giám đốc điều hành và đồng sáng lập của Keeper Security, nói rằng hành vi lừa đảo tiếp tục phát triển về mức độ phức tạp, điều này sẽ hoạt động như một cảnh báo rõ ràng cho doanh nghiệp, do mức độ rủi ro cao.
“Những kẻ xấu ở mọi cấp độ đang điều chỉnh các trò lừa đảo bằng cách sử dụng các chiến thuật dựa trên thẩm mỹ như mẫu email trông giống thực tế và các trang web độc hại để dụ nạn nhân, sau đó chiếm đoạt tài khoản của họ bằng cách thay đổi thông tin xác thực, ngăn chặn quyền truy cập của chủ sở hữu hợp lệ,” anh ấy nói với Dark Reading. “Trong một cuộc tấn công mạo danh nhà cung cấp [như vụ này], khi tội phạm mạng sử dụng thông tin đăng nhập bị đánh cắp để gửi email lừa đảo từ một địa chỉ email hợp pháp, chiến thuật nguy hiểm này thậm chí còn thuyết phục hơn vì email bắt nguồn từ một nguồn quen thuộc.”
Hầu hết các trò lừa đảo hiện đại cũng có thể vượt qua các cổng email an toàn và thậm chí giả mạo hoặc phá hoại nhà cung cấp xác thực hai yếu tố (2FA)Monnia Deng, giám đốc tiếp thị sản phẩm tại Bolster cho biết thêm, trong khi kỹ thuật xã hội nói chung cực kỳ hiệu quả trong thời đại đám mây, tính di động và làm việc từ xa.
Cô nói: “Khi mọi người đều mong đợi trải nghiệm trực tuyến của mình nhanh chóng và dễ dàng thì lỗi của con người là không thể tránh khỏi và các chiến dịch lừa đảo này ngày càng thông minh hơn”. Cô nói thêm rằng ba xu hướng vĩ mô là nguyên nhân gây ra số lượng kỷ lục các cuộc tấn công liên quan đến lừa đảo: “Việc chuyển sang các nền tảng kỹ thuật số do đại dịch thúc đẩy để hoạt động kinh doanh liên tục, đội quân trẻ viết kịch bản ngày càng tăng có thể dễ dàng mua bộ công cụ lừa đảo hoặc thậm chí mua lừa đảo dưới dạng dịch vụ đăng ký và sự phụ thuộc lẫn nhau của các nền tảng công nghệ có thể tạo ra một cuộc tấn công chuỗi cung ứng từ một email lừa đảo.”
Do đó, thực tế là Dark Web lưu trữ một lượng lớn tên người dùng và mật khẩu bị đánh cắp; Việc đổ dữ liệu lớn không phải là hiếm và đến lượt nó, không chỉ thúc đẩy các cuộc tấn công nhồi thông tin xác thực và tấn công bạo lực mà còn cả các nỗ lực lừa đảo bổ sung.
Ví dụ: có thể các tác nhân đe dọa đã sử dụng thông tin từ vụ vi phạm First American Financial gần đây để xâm phạm tài khoản email mà họ đã sử dụng để gửi các hành vi lừa đảo; sự cố đó đã làm lộ 800 triệu tài liệu chứa thông tin cá nhân.
Benishti nói: “Vi phạm hoặc rò rỉ dữ liệu có thời gian tồn tại lâu hơn mọi người nghĩ”. “Vụ vi phạm tài chính đầu tiên của Mỹ xảy ra vào tháng 2019 năm XNUMX, nhưng dữ liệu cá nhân bị lộ có thể được sử dụng làm vũ khí nhiều năm sau đó.”
Ông cho biết thêm, để ngăn chặn thị trường nhộn nhịp này và những kẻ trục lợi hoạt động trong đó, đã đến lúc phải nhìn xa hơn mật khẩu.
Benishti cho biết: “Mật khẩu đòi hỏi độ phức tạp và tần suất luân chuyển ngày càng tăng, dẫn đến tình trạng kiệt sức về bảo mật”. “Nhiều người dùng chấp nhận rủi ro không an toàn khi nỗ lực tạo mật khẩu phức tạp vì việc thực hiện đúng sẽ rất phức tạp. Xác thực đa yếu tố có ích nhưng nó không phải là giải pháp chống đạn. Cần có sự thay đổi cơ bản để xác minh bạn là chính mình trong thế giới kỹ thuật số và có quyền truy cập vào các tài nguyên bạn cần.”
Cách chống lại cơn sóng thần lừa đảo
Với các phương pháp tiếp cận không cần mật khẩu phổ biến vẫn còn xa vời, Kalember của Proofpoint nói rằng các nguyên lý cơ bản về nhận thức của người dùng là điểm khởi đầu khi chống lừa đảo.
Ông nói: “Mọi người nên thận trọng khi tiếp cận tất cả các thông tin liên lạc không được yêu cầu, đặc biệt là những thông tin yêu cầu người dùng hành động, chẳng hạn như tải xuống hoặc mở tệp đính kèm, nhấp vào liên kết hoặc tiết lộ thông tin xác thực như thông tin cá nhân hoặc tài chính”.
Ngoài ra, điều quan trọng là mọi người phải tìm hiểu và thực hành vệ sinh mật khẩu tốt trên mọi dịch vụ họ sử dụng, Benishti cho biết thêm: “Và nếu bạn từng được thông báo rằng thông tin của bạn có thể liên quan đến hành vi vi phạm, hãy đặt lại tất cả mật khẩu cho mọi dịch vụ bạn sử dụng. . Nếu không, những kẻ tấn công có động cơ sẽ có những cách rõ ràng hơn để liên kết tất cả các loại dữ liệu và tài khoản để đạt được thứ chúng muốn.”
Ngoài ra, Ironscales khuyến nghị thử nghiệm mô phỏng lừa đảo thường xuyên cho tất cả nhân viên và đưa ra một bộ cờ đỏ theo quy tắc chung để tìm kiếm:
- Người dùng có thể xác định cuộc tấn công lừa đảo này bằng cách xem xét kỹ người gửi
- Đảm bảo địa chỉ gửi khớp với địa chỉ trả lại và địa chỉ đến từ một miền (URL) thường khớp với doanh nghiệp mà họ giao dịch.
- Tìm kiếm lỗi chính tả và ngữ pháp.
- Di chuột qua các liên kết và xem URL/địa chỉ đầy đủ của đích đến, xem nó có khác thường không.
- Luôn hết sức thận trọng với các trang web yêu cầu bạn cung cấp thông tin xác thực không liên quan đến các trang web đó, chẳng hạn như thông tin đăng nhập Microsoft 365 hoặc Google Workspace.
