Пази се! Фишинг атаките стават по-интелигентни с валидиране на имейл в реално време
Киберпрестъпниците вдигат летвата със смущаващ нов обрат в кражбата на идентификационни данни, използвайки валидиране на имейли в реално време, за да направят фишинг атаките по-ефективни и по-трудни за откриване. Изследователи от Cofense идентифицираха тази развиваща се тактика и я нарекоха „фишинг с проверка на точността“ – метод, който стеснява целевия списък само до тези имейл адреси, за които е потвърдено, че са активни и ценни.
За разлика от традиционните фишинг кампании, които хвърлят широка мрежа и се надяват на няколко ухапвания, този нов подход е прецизен и преднамерен. Вместо да изпращат измамни страници за вход на произволни потребители, атакуващите първо проверяват дали имейл адресът, въведен на фишинг страница, съществува в тяхната база данни с предварително събрани цели. Ако се провери, на жертвата се представя фалшив екран за влизане, предназначен да открадне идентификационни данни. Ако не, те се пренасочват към доброкачествен сайт като Wikipedia, който помага на фишинг сайта да избегне откриването от автоматизирани скенери за сигурност.
Тази проверка в реално време е възможна чрез вграждане на API или базиран на JavaScript инструмент за валидиране на имейл в комплекта за фишинг. Резултатът? По-високо качество на откраднатите данни, по-малко пропилени усилия и фишинг кампания, която е по-трудна за откриване и затваряне от инструментите за киберсигурност.
Съдържание
Филтриране на жертвите за максимално въздействие
Cofense предупреждава, че тази техника не само увеличава шансовете за кражба на идентификационни данни от реални, използвани акаунти, но също така усложнява работата на автоматизираните пясъчници и инструментите за обхождане, предназначени да залавят злонамерени уебсайтове. Тези системи често не успяват да преминат проверката за валидиране, което позволява на фишинг страницата да остане активна по-дълго и да избегне маркирането като подозрителна.
Това ниво на филтриране дава голямо предимство на участниците в заплахата. Като се фокусират върху проверени цели, те намаляват риска от експозиция и увеличават възвръщаемостта на инвестициите си. Тактиката също така помага да се удължи продължителността на фишинг кампаниите, което прави по-трудно за защитниците да се справят.
Фишинг трикът за изтриване на файл използва двупосочна атака
В допълнение към опасността, нападателите наслояват тези усъвършенствани тактики със стратегии за социално инженерство. Една наскоро наблюдавана кампания използва напомняния за изтриване на файлове като стръв. Жертвите получават имейл, който изглежда като връзка към PDF файл, планиран за изтриване от легитимна платформа за хостване на файлове, files.fm. Щракването върху връзката наистина ги отвежда до истинската хостинг услуга, където имат достъп до това, което изглежда като PDF файл.
Тук е уловката: на потребителите се предоставят две опции – преглед или изтегляне. Предварителният преглед отваря фалшива страница за влизане в Microsoft, предназначена за събиране на идентификационни данни, докато изтеглянето задейства инсталирането на изпълним файл, маскиран като Microsoft OneDrive. Програмата всъщност е ScreenConnect, легитимен инструмент за отдалечен работен плот от ConnectWise, често злоупотребяван от заплахи за неоторизиран достъп.
Според Cofense атаката е умело проектирана да манипулира поведението на потребителите. Жертвите са принудени да избират между две еднакво опасни опции, всяка от които води до компрометиране на тяхната система по различен начин. Тази двупосочна настройка гарантира, че заплахата ще постигне целта си, независимо дали става дума за кражба на идентификационни данни или внедряване на зловреден софтуер.
Фишинг, смесен с отдалечен достъп и Vishing тактики
В друго тревожно развитие изследователите на киберсигурността разкриха многоетапна кампания за атака, която съчетава фишинг с телефонни измами (вишинг), инструменти за отдалечен достъп и техники за „живот извън земята“. Тази сложна операция се съгласува с групата за заплаха Storm-1811 (известна също като STAC5777).
Атаката започва със съобщение на Microsoft Teams, съдържащо злонамерен полезен товар на PowerShell. След като бъде получен първоначалният достъп, нападателите използват функцията Quick Assist на Microsoft за дистанционно управление на системата. Оттам те инсталират легитимен софтуер като TeamViewer заедно със странично зареден злонамерен DLL и накрая внедряват базирана на JavaScript задна врата за команди и контрол, използвайки Node.js.
Тези инциденти подчертават нарастващата сложност и креативност на днешните фишинг заплахи. С тактики, които комбинират техническа сложност и психологическа манипулация, нападателите успяват да заобиколят традиционните защити и да подмамят дори предпазливите потребители.
Най-добрата защита продължава да бъде бдителността. Организациите трябва да бъдат информирани за тези нововъзникващи заплахи, а потребителите трябва да помислят два пъти, преди да кликнат върху връзки, да въведат идентификационни данни или да изтеглят файлове – без значение колко легитимни изглеждат.