- Онлайн безопасността е само относителна, илюзия в очите на много експерти по сигурността.
- Фирмата за киберсигурност Zscaler свали капаците на нова фишинг кампания на AiTM.
- Целите са потребители на Microsoft Mail и ние сме на път да ви покажем как работи.
Прочетете много внимателно какво ще напишем в тази статия, тъй като никой не е застрахован от нападателите и методите, които използват в момента.
За да бъдем по-конкретни, потребителите на услугата за електронна поща на Microsoft трябва наистина да бъдат нащрек, защото Zscaler, компания за изследване на киберсигурността, току-що откри нова текуща фишинг кампания, насочена към потребителите на електронна поща на Microsoft.
Няма да ви плаша, но според фирмата корпоративните потребители са атакувани и кампанията се провежда с помощта на техниката на противник по средата (AiTM), за да се заобиколи многофакторното удостоверяване.
Фишинг кампанията използва метода AiTM, за да открадне вашите идентификационни данни
Дори технологичният гигант от Редмънд призна този проблем през юли, когато създаде a
блог пост има за цел да предупреди потребителите за предстоящата опасност.
За да ви ускори, тази AiTM техника поставя противник в средата, за да пресече процеса на удостоверяване между клиента и сървъра.
Излишно е да казвам, че по време на този обмен всичките ви идентификационни данни са изчезнали, тъй като злонамерени трети страни ще ги притежават в резултат на това.
И както бихте очаквали, това също означава, че информацията на MFA е открадната. Следователно противникът в средата действа като сървъра спрямо истинския клиент и като клиента спрямо истинския сървър.
| Име на домейн, регистрирано от нападател | Законно име на домейн на Федералния кредитен съюз |
| crossvalleyfcv[.]org | crossvalleyfcu[.]org |
| triboro-fcv[.]org | triboro-fcu[.]org |
| cityfederalcv[.]com | cityfederalcu[.]com |
| portconnfcuu[.]com | portconnfcu[.]com |
| oufcv[.]com | oufcu[.]com |
Както обясниха експертите по сигурността, тази кампания е специално предназначена да достигне до крайни потребители в предприятия, които използват имейл услугите на Microsoft.
Не забравяйте, че компрометирането на бизнес имейл (BEC) продължава да бъде постоянна заплаха за организациите и тази кампания допълнително подчертава необходимостта от защита срещу подобни атаки.
Това са някои от ключовите точки, които експертите по киберсигурност обобщиха в резултат на анализа на заплахата:
- Корпоративните потребители на имейл услугите на Microsoft са основните цели на тази широкомащабна фишинг кампания.
- Всички тези фишинг атаки започват с имейл, изпратен до жертвата със злонамерена връзка.
- Кампанията е активна към момента на публикуване на блога и нови фишинг домейни се регистрират почти всеки ден от заплахата.
- В някои случаи бизнес имейлите на ръководителите са били компрометирани чрез тази фишинг атака и по-късно използвани за изпращане на допълнителни фишинг имейли като част от същата кампания.
- Някои от ключовите индустриални вертикали като FinTech, кредитиране, застраховане, енергетика и производство в географски региони като САЩ, Обединеното кралство, Нова Зеландия и Австралия са насочени.
- В тези атаки се използва персонализиран комплект за фишинг, базиран на прокси, способен да заобиколи многофакторното удостоверяване (MFA).
- Различни техники за маскиране и пръстови отпечатъци на браузъра се използват от заплахата, за да заобиколят автоматизираните системи за анализ на URL адреси.
- Използват се множество методи за пренасочване на URL адреси, за да се избегнат решенията за анализ на корпоративни имейл адреси.
- Легитимните онлайн услуги за редактиране на кодове като CodeSandbox и Glitch се злоупотребяват, за да се увеличи срокът на годност на кампанията.
Според нашия анализ на оригиналните имейли, използващи темата на Федералния кредитен съюз, наблюдавахме интересен модел. Тези имейли произхождат от имейл адресите на главните изпълнителни директори на съответните организации на Федералния кредитен съюз.
Позволете ни да споменем също, че някои от домейните, регистрирани от хакери, са били тиражи версии на законни федерални кредитни съюзи в САЩ.
В наши дни границата между онлайн безопасността и компрометирането на цялата ви операция е толкова фина, че ще ви трябва атомен микроскоп, за да я видите.
Ето защо ние винаги проповядваме безопасност, което означава:
- Никога не изтегляйте нищо от произволни, опасни източници.
- Никога не разкривайте вашите идентификационни данни или друга чувствителна информация на никого.
- Не позволявайте на хора, на които нямате доверие, да използват вашия компютър.
- Не отваряйте връзки, получени в имейли, които произхождат от ненадеждни източници.
- Винаги антивирусен софтуер.
От вас зависи да сте в безопасност в тази непрекъснато променяща се онлайн джунгла, така че не забравяйте да вземете всички необходими мерки за безопасност, за да избегнете бедствие.
Получавали ли сте такива имейли напоследък? Споделете опита си с нас в секцията за коментари по-долу.
