Varo! Tietojenkalasteluhyökkäykset tulevat älykkäämmiksi reaaliaikaisen sähköpostin vahvistuksen avulla
Kyberrikolliset nostavat rimaa uudella huolestuttavalla käänteellä tunnistetietojen varkauksissa käyttämällä reaaliaikaista sähköpostin vahvistusta tietojenkalasteluhyökkäysten tehostamiseksi ja vaikeammaksi havaitsemiseksi. Cofensen tutkijat ovat tunnistaneet tämän kehittyvän taktiikan ja nimenneet sen "tarkasti vahvistavaksi tietojenkalasteluksi" - menetelmä, joka kaventaa kohdeluettelon vain niihin sähköpostiosoitteisiin, jotka on vahvistettu aktiivisiksi ja arvokkaiksi.
Toisin kuin perinteiset tietojenkalastelukampanjat, jotka heittävät laajan verkon ja toivovat muutaman pureman, tämä uusi lähestymistapa on tarkka ja harkittu. Sen sijaan, että hyökkääjät lähettäisivät vilpillisiä kirjautumissivuja satunnaisille käyttäjille, he varmistavat ensin, että tietojenkalastelusivulle annettu sähköpostiosoite on olemassa heidän ennalta kerättyjen kohteiden tietokannassa. Jos se kirjautuu ulos, uhrille esitetään väärennetty kirjautumisnäyttö, joka on suunniteltu varastamaan tunnistetiedot. Jos ei, ne ohjataan hyvänlaatuiselle sivustolle, kuten Wikipediaan, mikä auttaa tietojenkalastelusivustoa välttämään automaattisten turvaskannerien havaitsemisen.
Tämä reaaliaikainen vahvistus on mahdollista upottamalla API- tai JavaScript-pohjainen sähköpostin vahvistustyökalu tietojenkalastelupakkaukseen. Tulos? Laadukkaampaa varastettua dataa, vähemmän turhaa työtä ja tietojenkalastelukampanja, joka kyberturvallisuustyökalujen on vaikeampi havaita ja sulkea.
Sisällysluettelo
Uhrien suodattaminen maksimaalisen vaikutuksen saavuttamiseksi
Cofense varoittaa, että tämä tekniikka ei ainoastaan lisää mahdollisuuksia varastaa tunnistetietoja oikeilta, käytössä olevilta tileiltä, vaan myös vaikeuttaa automaattisten hiekkalaatikoiden ja indeksointityökalujen työtä, jotka on suunniteltu tarttumaan haitallisiin verkkosivustoihin. Nämä järjestelmät eivät usein läpäise vahvistustarkistusta, jolloin tietojenkalastelusivu pysyy aktiivisena pidempään ja vältetään sen merkitseminen epäilyttäväksi.
Tämä suodatustaso antaa uhkatekijöille suuren edun. Nollaamalla vahvistetut kohteet he vähentävät altistumisriskiään ja lisäävät sijoitetun pääoman tuottoa. Taktiikka auttaa myös pidentämään tietojenkalastelukampanjoiden elinikää, mikä vaikeuttaa puolustajien pysymistä perässä.
Tiedostojen poistaminen Phishing Temppu käyttää kaksitahoista hyökkäystä
Vaaraa lisäävät hyökkääjät lisäävät näitä edistyneitä taktiikoita sosiaalisen suunnittelun strategioihin. Eräs äskettäin havaittu kampanja käyttää tiedostojen poistomuistutuksia syöttinä. Uhrit saavat sähköpostin, jossa näyttää olevan linkki PDF-tiedostoon, joka on suunniteltu poistettavaksi lailliselta tiedostojen isännöintialustalta, files.fm. Linkin napsauttaminen johtaa todellakin todelliseen isännöintipalveluun, jossa he voivat käyttää PDF-tiedostoa näyttävää tiedostoa.
Tässä on saalis: käyttäjille esitetään kaksi vaihtoehtoa: esikatselu tai lataus. Esikatselu avaa väärennetyn Microsoftin kirjautumissivun, joka on tarkoitettu valtuustietojen keräämiseen, kun taas lataaminen käynnistää Microsoft OneDriveksi naamioituneen suoritettavan tiedoston asennuksen. Ohjelma on itse asiassa ScreenConnect, ConnectWisen laillinen etätyöpöytätyökalu, jota uhkatekijät käyttävät usein väärin luvattoman käytön vuoksi.
Cofensen mukaan hyökkäys on taitavasti suunniteltu manipuloimaan käyttäjien käyttäytymistä. Uhrit joutuvat valitsemaan kahden yhtä vaarallisen vaihtoehdon välillä, joista kumpikin johtaa heidän järjestelmänsä vaarantumiseen eri tavoin. Tämä kaksiosainen asennus varmistaa, että uhkatekijä saavuttaa tavoitteensa, olipa kyseessä sitten valtuustietojen varkaus tai haittaohjelmien käyttöönotto.
Tietojenkalastelu yhdistettynä etäkäyttöön ja vishing-taktiikkaan
Toisessa hälyttävässä kehityksessä kyberturvallisuustutkijat ovat paljastaneet monivaiheisen hyökkäyskampanjan, joka yhdistää tietojenkalastelut puhelinhuijauksiin (vishing), etäkäyttötyökaluihin ja "eläminen off-the-land" -tekniikoihin. Tämä hienostunut operaatio on linjassa uhkatoimijaryhmän Storm-1811 (tunnetaan myös nimellä STAC5777) kanssa.
Hyökkäys alkaa Microsoft Teams -viestillä, joka sisältää haitallisen PowerShell-hyötykuorman. Kun ensimmäinen käyttöoikeus on saatu, hyökkääjät käyttävät Microsoftin Quick Assist -ominaisuutta järjestelmän etähallintaan. Sieltä he asentavat laillisen ohjelmiston, kuten TeamViewerin, rinnalle ladatun haitallisen DLL:n ja lopulta ottavat käyttöön JavaScript-pohjaisen komento- ja ohjaustakaoven Node.js:n avulla.
Nämä tapaukset korostavat nykypäivän tietojenkalasteluuhkien lisääntyvää monimutkaisuutta ja luovuutta. Teknisen hienostuneisuuden ja psykologisen manipuloinnin yhdistävillä taktiikoilla hyökkääjät onnistuvat ohittamaan perinteiset puolustuskeinot ja huijaamaan varovaisiakin käyttäjiä.
Paras puolustus on edelleen valppaus. Organisaatioiden on pysyttävä ajan tasalla näistä uusista uhista, ja käyttäjien on harkittava kahdesti ennen kuin napsauttavat linkkejä, syöttävät tunnistetietoja tai lataavat tiedostoja – riippumatta siitä, kuinka laillisilta ne näyttävät.