Ettevaatust! Andmepüügirünnakud muutuvad reaalajas meilikontrolliga targemaks
Küberkurjategijad tõstavad latti murettekitava pöördega mandaadivarguste vallas, kasutades reaalajas e-posti valideerimist, et muuta andmepüügirünnakud tõhusamaks ja raskemini tuvastatavaks. Cofense'i teadlased on tuvastanud selle areneva taktika ja nimetanud selle "täpselt kinnitavaks andmepüügiks" - meetod, mis kitsendab sihtnimekirja ainult nendele e-posti aadressidele, mis on kinnitatud aktiivseks ja väärtuslikuks.
Erinevalt traditsioonilistest andmepüügikampaaniatest, mis loodavad laia võrku ja loodavad paari hammustada, on see uus lähenemine täpne ja tahtlik. Selle asemel, et saata petturlikke sisselogimislehti juhuslikele kasutajatele, kontrollivad ründajad esmalt, et andmepüügilehele sisestatud e-posti aadress on nende eelnevalt kogutud sihtmärkide andmebaasis olemas. Kui see kontrollib välja, kuvatakse ohvrile võltsitud sisselogimisekraan, mis on loodud mandaatide varastamiseks. Kui ei, suunatakse nad ümber healoomulisele saidile, nagu Wikipedia, mis aitab andmepüügisaidil vältida automaatsete turvaskannerite tuvastamist.
Selle reaalajas kinnitamise teeb võimalikuks API- või JavaScript-põhise e-posti valideerimistööriista manustamine andmepüügikomplekti. Tulemus? Kvaliteetsemad varastatud andmed, vähem raisatud jõupingutusi ja andmepüügikampaania, mida küberturbetööriistadel on raskem märgata ja sulgeda.
Sisukord
Ohvrite filtreerimine maksimaalse mõju saavutamiseks
Cofense hoiatab, et see tehnika mitte ainult ei suurenda tõelistelt kasutusel olevatelt kontodelt mandaatide varastamise võimalusi, vaid raskendab ka pahatahtlike veebisaitide püüdmiseks loodud automaatsete liivakastide ja roomamistööriistade tööd. Need süsteemid ei läbi sageli valideerimiskontrolli, võimaldades andmepüügilehel kauem aktiivsena püsida ja vältida kahtlasena märgistamist.
Selline filtreerimise tase annab ohus osalejatele suure eelise. Kontrollitud sihtmärkide nullimisel vähendavad nad kokkupuutumise riski ja suurendavad investeeringutasuvust. Taktika aitab ka andmepüügikampaaniate eluiga pikendada, muutes kaitsjatel raskemaks sammu pidada.
Failide kustutamise andmepüügitrikk kasutab kahepoolset rünnakut
Ohtu suurendavad ründajad kihistavad need arenenud taktikad sotsiaalse insener-strateegiatega. Üks hiljuti vaadeldud kampaania kasutab söödana failide kustutamise meeldetuletusi. Ohvrid saavad meili, mis näib lingivat PDF-failile, mis on kavandatud kustutamiseks seaduslikult failimajutusplatvormilt files.fm. Lingil klõpsamine viib nad tõepoolest tõelisele hostimisteenusele, kus nad pääsevad juurde PDF-failina.
Siin on konks: kasutajatele pakutakse kahte võimalust – eelvaade või allalaadimine. Eelvaade avab võlts-Microsofti sisselogimislehe, mis on mõeldud mandaatide kogumiseks, allalaadimine aga käivitab Microsoft OneDrive’iks maskeeritud käivitatava faili installimise. Programm on tegelikult ScreenConnect, ConnectWise'i seaduslik kaugtöölaua tööriist, mida ohustajad sageli kuritarvitavad volitamata juurdepääsu eesmärgil.
Cofense’i sõnul on rünnak nutikalt loodud kasutaja käitumisega manipuleerimiseks. Ohvrid on sunnitud valima kahe võrdselt ohtliku variandi vahel, millest igaüks viib nende süsteemi erinevatel viisidel kompromissini. See kaheosaline seadistus tagab, et ohus osaleja saavutab oma eesmärgi, olgu selleks siis mandaadivargus või pahavara juurutamine.
Andmepüügi kombineeritud kaugjuurdepääsu ja vishing taktikaga
Teise murettekitava arengu käigus on küberjulgeoleku uurijad avastanud mitmeetapilise ründekampaania, mis ühendab andmepüügi telefonipettuste (vishing), kaugjuurdepääsu tööriistade ja "maavälise elamise" tehnikatega. See keerukas operatsioon ühtib ohustajate rühma Storm-1811 (tuntud ka kui STAC5777).
Rünnak algab Microsoft Teamsi sõnumiga, mis sisaldab pahatahtlikku PowerShelli kasulikku koormust. Kui esmane juurdepääs on saavutatud, kasutavad ründajad süsteemi kaugjuhtimiseks Microsofti kiirabi funktsiooni. Sealt installivad nad seadusliku tarkvara, nagu TeamViewer, kõrvuti külglaaditud pahatahtliku DLL-iga ja lõpuks juurutavad JavaScripti-põhise käsu- ja juhtimistagaukse, kasutades Node.js-i.
Need juhtumid toovad esile tänapäevaste andmepüügiohtude keerukuse ja loovuse. Tehnilist keerukust ja psühholoogilist manipuleerimist ühendava taktikaga õnnestub ründajatel traditsioonilistest kaitsemehhanismidest mööda minna ja isegi ettevaatlikke kasutajaid petta.
Parim kaitse on jätkuvalt valvsus. Organisatsioonid peavad olema nende esilekerkivate ohtudega kursis ja kasutajad peavad enne linkidel klõpsamist, mandaatide sisestamist või failide allalaadimist kaks korda järele mõtlema – olenemata sellest, kui seaduslikud need võivad tunduda.