数千个 Microsoft 365 凭据被发现以明文形式存储在网络钓鱼服务器上,这是针对房地产专业人士的不寻常的、有针对性的凭据收集活动的一部分。 研究人员表示,这些攻击展示了传统用户名-密码组合所带来的日益增长、不断变化的风险,特别是随着网络钓鱼的复杂性不断增长,规避了基本的电子邮件安全。
Ironscales 的研究人员发现了这一攻击行为,其中网络攻击者冒充房地产领域两家知名金融服务供应商的员工:第一美国金融公司和联合批发抵押贷款公司。 分析师表示,网络骗子正在利用这些帐户向房地产经纪人、房地产律师、产权代理人以及买家和卖家发送网络钓鱼电子邮件,试图引导他们访问欺骗性的 Microsoft 365 登录页面以捕获凭据。
据一位人士称,这些电子邮件的警报目标是附件文件需要审查,或者它们有新消息托管在安全服务器上。 15 月 XNUMX 日发布 关于铁鳞的战役。 在这两种情况下,嵌入式链接都会将收件人定向到虚假登录页面,要求他们登录 Microsoft 365。
一旦进入恶意页面,研究人员就观察到了过程中的一个不寻常的转折:攻击者试图从每个网络钓鱼会话中找出多个密码,从而充分利用与受害者相处的时间。
根据研究人员的报告,“每次尝试提交这些 365 凭证都会返回错误并提示用户重试”。 “用户通常会在尝试过去可能使用过的其他密码的变体之前至少再提交一次相同的凭据,这为犯罪分子提供了一个凭据金矿,可以出售或用于暴力或凭据填充攻击访问流行的金融或社交媒体帐户。”
Ironscales 创始人兼首席执行官埃亚尔·贝尼什蒂 (Eyal Benishti) 告诉 Dark Reading,通过深思熟虑的计划来瞄准受害者是该活动最引人注目的方面之一。
“这是在追 从事房地产工作的人 (房地产经纪人、产权经纪人、房地产律师),使用电子邮件网络钓鱼模板来欺骗非常熟悉的品牌和熟悉的号召性用语(‘查看这些安全文档’或‘阅读此安全消息’),”他说。
目前尚不清楚该活动可能蔓延到什么程度,但该公司的调查显示,到目前为止,至少有数千人遭到网络钓鱼。
“网络钓鱼的总人数尚不清楚,我们只调查了与我们的客户有交叉的几个实例,”贝尼什蒂说。 “但仅从我们分析的小样本来看,在 2,000 多次提交尝试中发现了 10,000 多组独特的凭据(许多用户多次提供相同或备用的凭据)。”
受害者面临的风险很高:房地产相关交易往往成为复杂的欺诈诈骗的目标,尤其是交易 涉及房地产产权公司.
贝尼什蒂表示:“根据趋势和统计数据,这些攻击者可能希望使用这些凭据来拦截/引导/重定向与房地产交易相关的电汇。”
微软安全链接在工作中失败
在这次特定的活动中同样值得注意(也是不幸的)的是,基本的安全控制显然失败了。
研究人员指出,在第一轮网络钓鱼中,要求目标点击的 URL 并没有试图隐藏自己,当鼠标悬停在链接上时,会显示一个挥舞着红旗的 URL:“https://phishingsite.com /folde…[点]shtm。”
然而,后续浪潮将地址隐藏在安全链接 URL 后面,这是 Microsoft Defender 中的一项功能,旨在扫描 URL 以发现恶意链接。一旦该链接被扫描并被认为是安全的,安全链接就会使用特殊的命名法用不同的 URL 覆盖该链接。
在这种情况下,该工具只会让目视检查实际出现的“这是网络钓鱼!”变得更加困难。链接,并且还允许消息更容易地通过电子邮件过滤器。微软没有回应置评请求。
“安全链接有几个已知的弱点,在这种情况下产生错误的安全感是一个重大弱点,”贝尼什蒂说。 “Safe Links 没有检测到与原始链接相关的任何风险或欺骗,但重写了该链接,就好像它有一样。用户和许多安全专业人员因为安全控制到位而获得了错误的安全感,但这种控制基本上是无效的。”
另外值得注意的是:在 United Wholesale Mortgage 的电子邮件中,该消息还被标记为“安全电子邮件通知”,包括保密免责声明,并带有虚假的“Proofpoint Encryption 保护”横幅。
Proofpoint 网络安全战略执行副总裁 Ryan Kalember 表示,他的公司对品牌被劫持并不陌生,并补充说,冒用其名称实际上是该公司产品扫描的一种已知网络攻击技术。
这是一个很好的提醒,即用户不能依靠品牌来确定消息的真实性,他指出:“威胁行为者经常假装是知名品牌,以引诱他们的目标泄露信息,”他说。 “他们还经常冒充知名安全供应商,以增加其网络钓鱼电子邮件的合法性。”
即使是坏人也会犯错误
与此同时,从被盗凭证中受益的可能不仅仅是 OG 网络钓鱼者。
在分析该活动期间,研究人员在电子邮件中发现了一个不应该存在的 URL:指向计算机文件目录的路径。该目录中存放着网络犯罪分子的不义之财,即提交给该特定网络钓鱼网站的每一个电子邮件和密码组合,都保存在任何人都可以访问的明文文件中。
“这完全是一次意外,”贝尼什蒂说。 “工作马虎的结果,或者更可能的是他们使用其他人开发的网络钓鱼工具包时的无知——黑市上有大量可以购买的工具。”
虚假网页服务器(和明文文件)很快被关闭或删除,但正如贝尼什蒂指出的那样,攻击者使用的网络钓鱼工具包很可能是造成明文故障的原因——这意味着他们“将继续提供被盗的凭据”致全世界。”
凭证被盗,更复杂的行为助长网络钓鱼狂潮
研究人员指出,该活动更广泛地审视了网络钓鱼和凭证收集的流行情况,以及这对未来身份验证的意义。
Keeper Security 首席执行官兼联合创始人达伦·古乔内 (Darren Guccione) 表示,网络钓鱼的复杂程度不断发展,这应该成为 给企业敲响警钟,鉴于风险水平较高。
“各级不良行为者都在使用基于美学的策略(例如逼真的电子邮件模板和恶意网站)定制网络钓鱼诈骗,以引诱受害者,然后通过更改凭据来接管他们的帐户,从而阻止有效所有者的访问。”他告诉《暗读》。 “在供应商冒充攻击中(像这样),当网络犯罪分子使用窃取的凭据从合法电子邮件地址发送网络钓鱼电子邮件时,这种危险的策略更加令人信服,因为电子邮件来自熟悉的来源。”
大多数现代网络钓鱼还可以绕过安全电子邮件网关,甚至进行欺骗或破坏 双因素身份验证 (2FA) 供应商Bolster 产品营销总监 Monnia Deng 补充道,而社会工程总体来说在云、移动和远程工作时代非常有效。
“当每个人都希望他们的在线体验既快速又简单时,人为错误就不可避免,而且这些网络钓鱼活动变得越来越聪明,”她说。她补充说,三个宏观趋势是导致网络钓鱼相关攻击数量创纪录的原因:“大流行推动了业务连续性转向数字平台,脚本小子队伍不断壮大,他们可以轻松购买网络钓鱼工具包,甚至购买网络钓鱼作为订阅服务以及技术平台的相互依赖性可能会通过网络钓鱼电子邮件发起供应链攻击。”
因此,现实情况是,暗网托管着大量被盗用户名和密码的缓存; 大数据转储并不罕见,这不仅会引发撞库攻击和暴力攻击,还会引发额外的网络钓鱼活动。
例如,威胁行为者可能利用最近第一美国金融公司泄露的信息来破坏他们用来发送网络钓鱼的电子邮件帐户;该事件暴露了 800 亿份包含个人信息的文件。
“数据泄露或泄露的半衰期比人们想象的要长,”贝尼什蒂说。 “第一起美国金融数据泄露事件发生在 2019 年 XNUMX 月,但暴露的个人数据可能在几年后被武器化使用。”
他补充道,为了阻止这个繁华的市场以及在其中运作的奸商,是时候超越密码了。
“密码需要不断增加的复杂性和轮换频率,导致安全倦怠,”贝尼什蒂说。 “许多用户接受了创建复杂密码的不安全风险,因为做正确的事情变得如此复杂。多因素身份验证有所帮助,但它并不是万无一失的解决方案。需要进行根本性的改变,以验证您在数字世界中的身份,并获得所需的资源。”
如何应对网络钓鱼海啸
Proofpoint 的 Kalember 表示,距离普及无密码方法还有很长的路要走,基本的用户意识原则是打击网络钓鱼的起点。
他说:“人们应该谨慎对待所有未经请求的通信,尤其是那些要求用户采取行动的通信,例如下载或打开附件、单击链接或披露个人或财务信息等凭据。”
此外,每个人在他们使用的每项服务中学习和实践良好的密码卫生也至关重要,Benishti 补充道:“如果您被告知您的信息可能已被泄露,请为您使用的每项服务重置所有密码。如果没有,有动机的攻击者就会采用更巧妙的方式将各种数据和帐户关联起来,以获得他们想要的东西。”
此外,Ironscales 建议对所有员工定期进行网络钓鱼模拟测试,并提出了一组需要查找的危险信号的经验法则:
- 用户可以通过仔细查看发件人来识别此网络钓鱼攻击
- 确保发送地址与返回地址匹配,并且该地址来自通常与其所处理的业务匹配的域 (URL)。
- 寻找错误的拼写和语法。
- 将鼠标悬停在链接上并查看目标的完整 URL/地址,看看它是否看起来异常。
- 对于那些要求您提供与它们无关的凭据的网站(例如 Microsoft 365 或 Google Workspace 登录信息),请始终保持高度警惕。
