Pas på! Phishing-angreb Bliv smartere med e-mailvalidering i realtid
Cyberkriminelle hæver barren med et foruroligende nyt twist på legitimationstyveri, ved at bruge e-mailvalidering i realtid til at gøre phishing-angreb mere effektive og sværere at opdage. Forskere ved Cofense har identificeret denne udviklende taktik og kaldt den "præcisionsvaliderende phishing" - en metode, der indsnævrer mållisten til kun de e-mail-adresser, der er bekræftet som aktive og værdifulde.
I modsætning til traditionelle phishing-kampagner, der kaster et bredt net og håber på et par bid, er denne nye tilgang præcis og bevidst. I stedet for at sende falske login-sider til tilfældige brugere, bekræfter angriberne først, at den e-mail-adresse, der er indtastet på en phishing-side, findes i deres database med forudindhøstede mål. Hvis det tjekker ud, bliver offeret præsenteret for en falsk login-skærm designet til at stjæle legitimationsoplysninger. Hvis ikke, bliver de omdirigeret til en godartet side som Wikipedia, hvilket hjælper phishing-siden med at undgå opdagelse af automatiske sikkerhedsscannere.
Denne verifikation i realtid er muliggjort ved at integrere et API eller JavaScript-baseret e-mailvalideringsværktøj i phishing-sættet. Resultatet? Stjålet data af højere kvalitet, mindre spildte kræfter og en phishing-kampagne, der er sværere for cybersikkerhedsværktøjer at få øje på og lukke ned.
Indholdsfortegnelse
Filtrering af ofre for maksimal effekt
Cofense advarer om, at denne teknik ikke kun øger chancerne for at stjæle legitimationsoplysninger fra rigtige konti i brug, men også komplicerer arbejdet med automatiserede sandkasser og crawlerværktøjer designet til at fange ondsindede websteder. Disse systemer klarer ofte ikke valideringskontrollen, hvilket gør det muligt for phishing-siden at forblive aktiv længere og undgå at blive markeret som mistænkelig.
Dette niveau af filtrering giver trusselsaktører en stor fordel. Ved at nulstille sig til verificerede mål reducerer de deres risiko for eksponering og øger deres investeringsafkast. Taktikken hjælper også med at forlænge levetiden for phishing-kampagner, hvilket gør det sværere for forsvarere at følge med.
Filsletning Phishing-trick bruger to-benet angreb
For at øge faren kombinerer angribere disse avancerede taktikker med social engineering-strategier. En nyligt observeret kampagne bruger påmindelser om filsletning som lokkemad. Ofre modtager en e-mail, der ser ud til at linke til en PDF, der er planlagt til sletning fra en legitim filhostingplatform, files.fm. Ved at klikke på linket fører de dem til den rigtige hostingtjeneste, hvor de kan få adgang til, hvad der ligner en PDF-fil.
Her er fangsten: Brugere præsenteres for to muligheder – forhåndsvisning eller download. Forhåndsvisning åbner en falsk Microsoft-loginside, der er beregnet til at indhente legitimationsoplysninger, mens download udløser installationen af en eksekverbar, der er maskeret som Microsoft OneDrive. Programmet er faktisk ScreenConnect, et legitimt fjernskrivebordsværktøj fra ConnectWise, ofte misbrugt af trusselsaktører til uautoriseret adgang.
Ifølge Cofense er angrebet smart designet til at manipulere brugeradfærd. Ofre er tvunget til at vælge mellem to lige farlige muligheder, der hver fører til kompromittering af deres system på forskellige måder. Denne tostrengede opsætning sikrer, at trusselsaktøren når deres mål, uanset om det er legitimationstyveri eller implementering af malware.
Phishing blandet med fjernadgang og Vishing-taktik
I en anden alarmerende udvikling har cybersikkerhedsforskere afsløret en flertrins angrebskampagne, der blander phishing med telefonsvindel (vishing), fjernadgangsværktøjer og "living-off-the-land"-teknikker. Denne sofistikerede operation er på linje med trusselsaktørgruppen Storm-1811 (også kendt som STAC5777).
Angrebet starter med en Microsoft Teams-meddelelse, der indeholder en ondsindet PowerShell-nyttelast. Når først den første adgang er opnået, bruger angribere Microsofts Quick Assist-funktion til at fjernstyre systemet. Derfra installerer de legitim software som TeamViewer sammen med en sideindlæst ondsindet DLL og implementerer endelig en JavaScript-baseret kommando-og-kontrol-bagdør ved hjælp af Node.js.
Disse hændelser fremhæver den stigende kompleksitet og kreativitet af nutidens phishing-trusler. Med taktikker, der kombinerer teknisk sofistikering og psykologisk manipulation, lykkes det angribere at omgå traditionelle forsvar og snyde selv forsigtige brugere.
Det bedste forsvar er fortsat årvågenhed. Organisationer skal holde sig informeret om disse nye trusler, og brugere skal tænke sig om to gange, før de klikker på links, indtaster legitimationsoplysninger eller downloader filer – uanset hvor legitime de kan forekomme.