לְהִזָהֵר! התקפות דיוג הפכו חכמות יותר עם אימות דוא"ל בזמן אמת
פושעי סייבר מעלים את הרף עם טוויסט חדש ומטריד בנושא גניבת אישורים, תוך שימוש באימות דוא"ל בזמן אמת כדי להפוך התקפות דיוג ליעילות יותר וקשות יותר לזיהוי. חוקרים ב-Cofense זיהו את הטקטיקה המתפתחת הזו וכינו אותה "דיוג דיוג" - שיטה שמצמצמת את רשימת היעד רק לאותן כתובות דוא"ל שאושרו כפעילות ובעלות ערך.
בניגוד לקמפיינים דיוגים מסורתיים שפותחים רשת רחבה ומקווים לכמה עקיצות, הגישה החדשה הזו היא מדויקת ומכוונת. במקום לשלוח דפי כניסה מזויפים למשתמשים אקראיים, תוקפים מוודאים תחילה שכתובת האימייל שהוזנה בדף התחזות קיימת במסד הנתונים שלהם של יעדים שנאספו מראש. אם זה יוצא, מוצג לקורבן מסך התחברות מזויף שנועד לגנוב אישורים. אם לא, הם מנותבים לאתר שפיר כמו ויקיפדיה, מה שעוזר לאתר הדיוג להימנע מזיהוי על ידי סורקי אבטחה אוטומטיים.
אימות זה בזמן אמת מתאפשר על ידי הטמעת ממשק API או כלי אימות דוא"ל מבוסס JavaScript בערכת ההתחזות. התוצאה? נתונים גנובים באיכות גבוהה יותר, פחות מבוזבז מאמץ ומסע דיוג שקשה יותר לכלי אבטחת סייבר לזהות ולכבות.
תוכן העניינים
סינון קורבנות להשפעה מרבית
Cofense מזהירה שהטכניקה הזו לא רק מגדילה את הסיכוי לגנוב אישורים מחשבונות אמיתיים שנמצאים בשימוש, אלא גם מסבכת את העבודה של ארגזי חול אוטומטיים וכלי סורק שנועדו לתפוס אתרים זדוניים. מערכות אלו לרוב לא מצליחות לעבור את בדיקת האימות, מה שמאפשר לדף הדיוג להישאר פעיל זמן רב יותר ולהימנע מסימון כחשוד.
רמת סינון זו מעניקה יתרון גדול לשחקני האיומים. על ידי איפוס יעדים מאומתים, הם מפחיתים את סיכון החשיפה שלהם ומגדילים את ההחזר על ההשקעה. הטקטיקה גם עוזרת להאריך את תוחלת החיים של מסעות פרסום דיוג, ומקשה על מגינים לעמוד בקצב.
טריק דיוג מחיקת קבצים משתמש בהתקפה דו-כיוונית
בנוסף לסכנה, התוקפים משלבים את הטקטיקות המתקדמות הללו עם אסטרטגיות הנדסה חברתית. מסע פרסום אחד שנצפה לאחרונה משתמש בתזכורות למחיקת קבצים כפיתיון. הקורבנות מקבלים אימייל שנראה כמקשר ל-PDF המתוכנן למחיקה מפלטפורמת אירוח קבצים לגיטימית, files.fm. לחיצה על הקישור אכן מובילה אותם לשירות האירוח האמיתי, שם הם יכולים לגשת למה שנראה כמו קובץ PDF.
הנה המלכוד: למשתמשים מוצגות שתי אפשרויות - תצוגה מקדימה או הורדה. תצוגה מקדימה פותחת דף התחברות מזויף של Microsoft שנועד לאסוף אישורים, בעוד שהורדה מפעילה התקנת קובץ הפעלה המתחזה ל-Microsoft OneDrive. התוכנית היא למעשה ScreenConnect, כלי לגיטימי לשולחן עבודה מרוחק מבית ConnectWise, לעתים קרובות מנוצל לרעה על ידי גורמי איומים לצורך גישה לא מורשית.
לפי Cofense, המתקפה תוכננה בחוכמה לתמרן את התנהגות המשתמשים. הקורבנות נאלצים לבחור בין שתי אפשרויות מסוכנות לא פחות, כל אחת מובילה לפשרה של המערכת שלהם בדרכים שונות. הגדרה דו-כיוונית זו מבטיחה ששחקן האיום ישיג את מטרתו, בין אם זו גניבת אישורים או פריסת תוכנות זדוניות.
פישינג בשילוב עם גישה מרחוק וטקטיקות Vishing
בהתפתחות מדאיגה נוספת, חוקרי אבטחת סייבר חשפו מסע תקיפה רב-שלבי המשלב דיוג עם הונאות טלפון (וויזינג), כלי גישה מרחוק וטכניקות "לחיות מחוץ לאדמה". המבצע המתוחכם הזה מתיישב עם קבוצת שחקני האיומים Storm-1811 (הידועה גם בשם STAC5777).
ההתקפה מתחילה בהודעת Microsoft Teams המכילה מטען זדוני של PowerShell. לאחר השגת הגישה הראשונית, התוקפים משתמשים בתכונת הסיוע המהיר של מיקרוסופט כדי לשלוט מרחוק על המערכת. משם, הם מתקינים תוכנה לגיטימית כמו TeamViewer לצד DLL זדוני שנטען בצד, ולבסוף פורסים דלת אחורית מבוססת פקודה ושליטה על JavaScript באמצעות Node.js.
תקריות אלו מדגישות את המורכבות והיצירתיות ההולכת וגוברת של איומי הדיוג של ימינו. עם טקטיקות המשלבות תחכום טכני ומניפולציה פסיכולוגית, התוקפים מצליחים לעקוף את ההגנות המסורתיות ולהונות אפילו משתמשים זהירים.
ההגנה הטובה ביותר ממשיכה להיות ערנות. ארגונים חייבים להישאר מעודכנים לגבי האיומים המתעוררים הללו, ומשתמשים צריכים לחשוב פעמיים לפני שהם לוחצים על קישורים, הזנת אישורים או הורדת קבצים - לא משנה כמה לגיטימיים הם עשויים להיראות.