Čuvajte se! Phishing napadi postaju pametniji uz provjeru valjanosti e-pošte u stvarnom vremenu
Cyberkriminalci podižu ljestvicu s uznemirujućim novim zaokretom u krađi vjerodajnica, koristeći provjeru valjanosti e-pošte u stvarnom vremenu kako bi napade krađe identiteta učinili učinkovitijima i težima za otkrivanje. Istraživači u Cofenseu identificirali su ovu taktiku koja se razvija i nazvali je "krađa identiteta s preciznom provjerom identiteta" — metoda koja sužava popis cilja samo na one adrese e-pošte za koje je potvrđeno da su aktivne i vrijedne.
Za razliku od tradicionalnih phishing kampanja koje bacaju široku mrežu i nadaju se nekoliko ugriza, ovaj novi pristup je precizan i promišljen. Umjesto slanja lažnih stranica za prijavu nasumičnim korisnicima, napadači najprije provjeravaju postoji li adresa e-pošte upisana na stranici za krađu identiteta u njihovoj bazi podataka unaprijed prikupljenih meta. Ako se odjavi, žrtvi se prikazuje lažni zaslon za prijavu dizajniran za krađu vjerodajnica. Ako nisu, preusmjeravaju se na benignu stranicu poput Wikipedije, koja pomaže stranici za krađu identiteta da izbjegne otkrivanje automatskim sigurnosnim skenerima.
Ova provjera u stvarnom vremenu omogućena je ugradnjom API-ja ili alata za provjeru valjanosti e-pošte temeljenog na JavaScriptu u komplet za krađu identiteta. Rezultat? Kvalitetniji ukradeni podaci, manje izgubljenog truda i phishing kampanja koju je alatima za kibernetičku sigurnost teže uočiti i isključiti.
Sadržaj
Filtriranje žrtava za maksimalan učinak
Cofense upozorava da ova tehnika ne samo da povećava šanse za krađu vjerodajnica sa stvarnih računa koji se koriste, već i komplicira rad automatiziranih sandboxova i alata za indeksiranje dizajniranih za hvatanje zlonamjernih web stranica. Ovi sustavi često ne prođu provjeru valjanosti, što omogućuje stranici za krađu identiteta da ostane aktivna dulje i izbjegne da bude označena kao sumnjiva.
Ova razina filtriranja akterima prijetnji daje veliku prednost. Usredotočujući se na provjerene ciljeve, oni smanjuju rizik izloženosti i povećavaju povrat ulaganja. Ova taktika također pomaže u produljenju vijeka trajanja phishing kampanja, što otežava braniteljima praćenje.
Trik za krađu identiteta brisanjem datoteke koristi dvosmjerni napad
Povećavajući opasnost, napadači ove napredne taktike spajaju sa strategijama socijalnog inženjeringa. Jedna nedavno promatrana kampanja koristi podsjetnike za brisanje datoteka kao mamac. Žrtve primaju e-poruku koja se čini kao poveznica na PDF koji je zakazan za brisanje s legitimne platforme za hosting datoteka, files.fm. Klikom na vezu doista ih vodi do prave usluge hostinga, gdje mogu pristupiti nečemu što izgleda kao PDF datoteka.
Ovdje je caka: korisnicima se nude dvije opcije—pregled ili preuzimanje. Pregled otvara lažnu Microsoftovu stranicu za prijavu namijenjenu prikupljanju vjerodajnica, dok preuzimanje pokreće instalaciju izvršne datoteke maskirane kao Microsoft OneDrive. Program je zapravo ScreenConnect, legitiman alat za udaljenu radnu površinu tvrtke ConnectWise, koji prijetnje često zlorabe za neovlašteni pristup.
Prema Cofenseu, napad je pametno osmišljen kako bi manipulirao ponašanjem korisnika. Žrtve su prisiljene birati između dvije jednako opasne opcije, od kojih svaka na različite načine dovodi do kompromitacije njihovog sustava. Ova dvostruka postavka osigurava da akter prijetnje postigne svoj cilj, bilo da se radi o krađi vjerodajnica ili implementaciji zlonamjernog softvera.
Phishing pomiješan s daljinskim pristupom i taktikom Vishinga
U još jednom alarmantnom razvoju događaja, istraživači kibernetičke sigurnosti otkrili su višefaznu kampanju napada koja spaja phishing s telefonskim prijevarama (vising), alatima za daljinski pristup i tehnikama "života izvan zemlje". Ova sofisticirana operacija povezana je s grupom aktera prijetnje Storm-1811 (također poznatom kao STAC5777).
Napad započinje Microsoft Teams porukom koja sadrži zlonamjerni sadržaj PowerShell-a. Nakon što se dobije početni pristup, napadači koriste Microsoftovu značajku Quick Assist za daljinsko upravljanje sustavom. Odatle instaliraju legitiman softver kao što je TeamViewer uz bočno učitani zlonamjerni DLL i na kraju implementiraju backdoor naredbi i kontrole temeljen na JavaScriptu koristeći Node.js.
Ovi incidenti naglašavaju sve veću složenost i kreativnost današnjih prijetnji krađe identiteta. S taktikama koje kombiniraju tehničku sofisticiranost i psihološku manipulaciju, napadači uspijevaju zaobići tradicionalne obrane i prevariti čak i oprezne korisnike.
Najbolja obrana i dalje je budnost. Organizacije moraju biti obaviještene o ovim prijetnjama u nastajanju, a korisnici moraju dobro razmisliti prije nego što kliknu na veze, unesu vjerodajnice ili preuzmu datoteke – bez obzira na to koliko se one legitimne činile.