Προσέχω! Οι επιθέσεις phishing γίνονται πιο έξυπνες με την επικύρωση email σε πραγματικό χρόνο
Οι εγκληματίες του κυβερνοχώρου ανεβάζουν τον πήχη με μια ανησυχητική νέα αλλαγή στην κλοπή διαπιστευτηρίων, χρησιμοποιώντας επικύρωση email σε πραγματικό χρόνο για να κάνουν τις επιθέσεις phishing πιο αποτελεσματικές και πιο δύσκολο να εντοπιστούν. Οι ερευνητές στο Cofense εντόπισαν αυτήν την εξελισσόμενη τακτική και την ονόμασαν "ψάρεμα επικύρωσης ακριβείας" - μια μέθοδος που περιορίζει τη λίστα στόχων μόνο σε εκείνες τις διευθύνσεις email που έχουν επιβεβαιωθεί ότι είναι ενεργές και πολύτιμες.
Σε αντίθεση με τις παραδοσιακές εκστρατείες ηλεκτρονικού "ψαρέματος" που δίνουν ένα ευρύ δίχτυ και ελπίζουν για μερικά τσιμπήματα, αυτή η νέα προσέγγιση είναι ακριβής και σκόπιμη. Αντί να στέλνουν δόλιες σελίδες σύνδεσης σε τυχαίους χρήστες, οι εισβολείς επαληθεύουν πρώτα ότι η διεύθυνση ηλεκτρονικού ταχυδρομείου που έχει εισαχθεί σε μια σελίδα phishing υπάρχει στη βάση δεδομένων τους με τους προ-συλλεγμένους στόχους. Εάν το ελέγξει, εμφανίζεται στο θύμα μια ψεύτικη οθόνη σύνδεσης που έχει σχεδιαστεί για να κλέβει διαπιστευτήρια. Εάν όχι, ανακατευθύνονται σε έναν καλοήθη ιστότοπο όπως η Wikipedia, ο οποίος βοηθά τον ιστότοπο phishing να αποφύγει τον εντοπισμό από αυτοματοποιημένους σαρωτές ασφαλείας.
Αυτή η επαλήθευση σε πραγματικό χρόνο είναι δυνατή με την ενσωμάτωση ενός εργαλείου επικύρωσης email που βασίζεται σε API ή JavaScript στο κιτ ηλεκτρονικού ψαρέματος. Το αποτέλεσμα; Κλεμμένα δεδομένα υψηλότερης ποιότητας, λιγότερη σπατάλη προσπάθειας και μια καμπάνια ηλεκτρονικού ψαρέματος που είναι πιο δύσκολο για τα εργαλεία κυβερνοασφάλειας να εντοπίσουν και να κλείσουν.
Πίνακας περιεχομένων
Φιλτράρισμα θυμάτων για μέγιστο αντίκτυπο
Η Cofense προειδοποιεί ότι αυτή η τεχνική όχι μόνο αυξάνει τις πιθανότητες κλοπής διαπιστευτηρίων από πραγματικούς λογαριασμούς σε χρήση, αλλά περιπλέκει επίσης τη δουλειά των αυτοματοποιημένων sandbox και των εργαλείων ανίχνευσης που έχουν σχεδιαστεί για να πιάνουν κακόβουλους ιστότοπους. Αυτά τα συστήματα συχνά αποτυγχάνουν να περάσουν τον έλεγχο επικύρωσης, επιτρέποντας στη σελίδα phishing να παραμείνει ενεργή για μεγαλύτερο χρονικό διάστημα και να αποφευχθεί η επισήμανση ως ύποπτης.
Αυτό το επίπεδο φιλτραρίσματος δίνει στους παράγοντες απειλών ένα σημαντικό πλεονέκτημα. Μηδενίζοντας τους επαληθευμένους στόχους, μειώνουν τον κίνδυνο έκθεσής τους και αυξάνουν την απόδοση της επένδυσής τους. Η τακτική συμβάλλει επίσης στην παράταση της διάρκειας ζωής των εκστρατειών phishing, καθιστώντας πιο δύσκολο για τους υπερασπιστές να συμβαδίσουν.
Το τέχνασμα ψαρέματος διαγραφής αρχείου χρησιμοποιεί επίθεση με δύο άξονες
Προσθέτοντας τον κίνδυνο, οι επιτιθέμενοι στρώνουν αυτές τις προηγμένες τακτικές με στρατηγικές κοινωνικής μηχανικής. Μια καμπάνια που παρατηρήθηκε πρόσφατα χρησιμοποιεί υπενθυμίσεις διαγραφής αρχείων ως δόλωμα. Τα θύματα λαμβάνουν ένα email που φαίνεται να συνδέεται με ένα PDF που έχει προγραμματιστεί για διαγραφή από μια νόμιμη πλατφόρμα φιλοξενίας αρχείων, το files.fm. Κάνοντας κλικ στον σύνδεσμο πράγματι τους μεταφέρει στην πραγματική υπηρεσία φιλοξενίας, όπου μπορούν να έχουν πρόσβαση σε αυτό που μοιάζει με αρχείο PDF.
Ακολουθεί η σύλληψη: οι χρήστες παρουσιάζονται με δύο επιλογές — προεπισκόπηση ή λήψη. Η προεπισκόπηση ανοίγει μια ψεύτικη σελίδα σύνδεσης της Microsoft που προορίζεται για τη συλλογή διαπιστευτηρίων, ενώ η λήψη ενεργοποιεί την εγκατάσταση ενός εκτελέσιμου που μεταμφιέζεται ως Microsoft OneDrive. Το πρόγραμμα είναι στην πραγματικότητα το ScreenConnect, ένα νόμιμο εργαλείο απομακρυσμένης επιφάνειας εργασίας από τη ConnectWise, το οποίο χρησιμοποιείται συχνά από φορείς απειλών για μη εξουσιοδοτημένη πρόσβαση.
Σύμφωνα με την Cofense, η επίθεση έχει σχεδιαστεί έξυπνα για να χειραγωγήσει τη συμπεριφορά των χρηστών. Τα θύματα αναγκάζονται να επιλέξουν ανάμεσα σε δύο εξίσου επικίνδυνες επιλογές, που η καθεμία οδηγεί στον συμβιβασμό του συστήματός τους με διαφορετικούς τρόπους. Αυτή η διττή ρύθμιση διασφαλίζει ότι ο παράγοντας απειλής επιτυγχάνει τον στόχο του, είτε πρόκειται για κλοπή διαπιστευτηρίων είτε για ανάπτυξη κακόβουλου λογισμικού.
Το Phishing συνδυάζεται με την Απομακρυσμένη Πρόσβαση και τις Τακτικές Vishing
Σε μια άλλη ανησυχητική εξέλιξη, οι ερευνητές της κυβερνοασφάλειας αποκάλυψαν μια εκστρατεία επίθεσης πολλαπλών σταδίων που συνδυάζει το phishing με τηλεφωνικές απάτες (vishing), εργαλεία απομακρυσμένης πρόσβασης και τεχνικές "living-off-the-land". Αυτή η εξελιγμένη επιχείρηση ευθυγραμμίζεται με την ομάδα απειλών Storm-1811 (γνωστή και ως STAC5777).
Η επίθεση ξεκινά με ένα μήνυμα του Microsoft Teams που περιέχει ένα κακόβουλο ωφέλιμο φορτίο PowerShell. Μόλις αποκτηθεί η αρχική πρόσβαση, οι εισβολείς χρησιμοποιούν τη λειτουργία Quick Assist της Microsoft για τον απομακρυσμένο έλεγχο του συστήματος. Από εκεί, εγκαθιστούν νόμιμο λογισμικό όπως το TeamViewer μαζί με ένα κακόβουλο DLL με πλευρική φόρτωση και τελικά αναπτύσσουν μια κερκόπορτα εντολών και ελέγχου που βασίζεται σε JavaScript χρησιμοποιώντας το Node.js.
Αυτά τα περιστατικά υπογραμμίζουν την αυξανόμενη πολυπλοκότητα και τη δημιουργικότητα των σημερινών απειλών phishing. Με τακτικές που συνδυάζουν τεχνική πολυπλοκότητα και ψυχολογική χειραγώγηση, οι επιτιθέμενοι καταφέρνουν να παρακάμψουν τις παραδοσιακές άμυνες και να ξεγελάσουν ακόμη και προσεκτικούς χρήστες.
Η καλύτερη άμυνα συνεχίζει να είναι η εγρήγορση. Οι οργανισμοί πρέπει να παραμένουν ενημερωμένοι για αυτές τις αναδυόμενες απειλές και οι χρήστες πρέπει να το σκεφτούν δύο φορές πριν κάνουν κλικ σε συνδέσμους, εισαγάγουν διαπιστευτήρια ή πραγματοποιήσουν λήψη αρχείων — ανεξάρτητα από το πόσο νόμιμα μπορεί να εμφανίζονται.