Saugokitės! Sukčiavimo išpuoliai tampa protingesni naudojant el. pašto patvirtinimą realiuoju laiku

Kibernetiniai nusikaltėliai kelia kartelę nerimą keliančiu nauju kredencialų vagystės posūkiu, naudodami el. pašto patvirtinimą realiuoju laiku, kad sukčiavimo atakos būtų veiksmingesnės ir sunkiau aptinkamos. „Cofense“ mokslininkai nustatė šią besivystančią taktiką ir pavadino ją „tikslaus patikrinimo sukčiavimu“ – metodu, kuris susiaurina tikslinių el. pašto adresų sąrašą, įtraukiant tik tuos el. pašto adresus, kurie patvirtinti kaip aktyvūs ir vertingi.

Skirtingai nuo tradicinių sukčiavimo kampanijų, kurios meta platų tinklą ir tikisi kelių įkandimų, šis naujas požiūris yra tikslus ir apgalvotas. Užuot siuntę apgaulingus prisijungimo puslapius atsitiktiniams vartotojams, užpuolikai pirmiausia patikrina, ar sukčiavimo puslapyje įvestas el. pašto adresas yra jų iš anksto nuimtų taikinių duomenų bazėje. Jei jis patikrinamas, aukai pateikiamas netikras prisijungimo ekranas, skirtas pavogti kredencialus. Jei ne, jie nukreipiami į neblogą svetainę, pvz., Vikipediją, kuri padeda sukčiavimo svetainei išvengti automatinių saugos skaitytuvų aptikimo.

Šis tikrinimas realiuoju laiku įmanomas į sukčiavimo rinkinį įterpus API arba JavaScript pagrįstą el. pašto patvirtinimo įrankį. Rezultatas? Aukštesnės kokybės pavogti duomenys, mažiau švaistomų pastangų ir sukčiavimo kampanija, kurią kibernetinio saugumo priemonėms sunkiau pastebėti ir išjungti.

Aukų filtravimas siekiant maksimalaus poveikio

Cofense perspėja, kad ši technika ne tik padidina tikimybę pavogti kredencialus iš tikrų, naudojamų paskyrų, bet ir apsunkina automatizuotų smėlio dėžių ir tikrinimo įrankių, skirtų kenkėjiškoms svetainėms gaudyti, darbą. Šios sistemos dažnai nepraeina patvirtinimo patikros, todėl sukčiavimo puslapis išliks aktyvus ilgiau ir nebus pažymėtas kaip įtartinas.

Toks filtravimo lygis suteikia grėsmės veikėjams didelį pranašumą. Nustačius patikrintus tikslus, jie sumažina poveikio riziką ir padidina investicijų grąžą. Ši taktika taip pat padeda pailginti sukčiavimo kampanijų trukmę, todėl gynėjams bus sunkiau neatsilikti.

Failų ištrynimo sukčiavimo triukas naudoja dvipusį puolimą

Padidindami pavojų, užpuolikai šią pažangią taktiką sluoksniuoja su socialinės inžinerijos strategijomis. Vienoje neseniai stebėtoje kampanijoje kaip masalas naudojami failų ištrynimo priminimai. Aukos gauna el. laišką, kuriame pateikiama nuoroda į PDF, kurį planuojama ištrinti iš teisėtos failų prieglobos platformos files.fm. Spustelėję nuorodą jie iš tikrųjų nukreipia į tikrą prieglobos paslaugą, kur gali pasiekti, kas atrodo kaip PDF failas.

Štai koks dalykas: vartotojams pateikiamos dvi parinktys – peržiūrėti arba atsisiųsti. Peržiūrėjus atidaromas netikras „Microsoft“ prisijungimo puslapis, skirtas kredencialams surinkti, o atsisiunčiant suaktyvinamas vykdomojo failo įdiegimas, pridengtas „Microsoft OneDrive“. Programa iš tikrųjų yra „ScreenConnect“, teisėtas „ConnectWise“ nuotolinio darbalaukio įrankis, kuriuo dažnai piktnaudžiauja grėsmės veikėjai dėl neteisėtos prieigos.

Anot Cofense, ataka sumaniai sukurta siekiant manipuliuoti vartotojų elgesiu. Aukos yra priverstos rinktis vieną iš dviejų vienodai pavojingų variantų, kurių kiekvienas skirtingais būdais gali pakenkti jų sistemai. Ši dvipusė sąranka užtikrina, kad grėsmės veikėjas pasieks savo tikslą, nesvarbu, ar tai būtų kredencialų vagystė, ar kenkėjiškų programų diegimas.

Sukčiavimas sumaišytas su nuotoline prieiga ir „Vishing“ taktika

Kibernetinio saugumo tyrinėtojai atskleidė kelių etapų atakų kampaniją, kurioje sukčiavimas sumaišomas su telefoniniais sukčiais (vishing), nuotolinės prieigos įrankiais ir „gyvenimo ne žemėje“ metodais. Ši sudėtinga operacija suderinama su grėsmės veikėjų grupe Storm-1811 (taip pat žinoma kaip STAC5777).

Ataka prasideda „Microsoft Teams“ pranešimu, kuriame yra kenkėjiška „PowerShell“ apkrova. Gavę pradinę prieigą, užpuolikai naudojasi „Microsoft“ greitosios pagalbos funkcija, kad nuotoliniu būdu valdytų sistemą. Iš ten jie įdiegia teisėtą programinę įrangą, pvz., „TeamViewer“, kartu su įkeltu kenkėjišku DLL ir galiausiai diegia „JavaScript“ pagrįstą komandų ir valdymo užpakalines duris naudodami Node.js.

Šie incidentai rodo, kad šiandienos sukčiavimo grėsmės tampa vis sudėtingesnės ir kūrybiškesnės. Taikydami taktiką, kurioje derinamas techninis įmantrumas ir psichologinė manipuliacija, užpuolikams pavyksta apeiti tradicinę gynybą ir apgauti net atsargius vartotojus.

Geriausia gynyba ir toliau yra budrumas. Organizacijos turi būti informuotos apie šias kylančias grėsmes, o vartotojai turi gerai pagalvoti prieš spustelėdami nuorodas, įvesdami kredencialus ar atsisiųsdami failus, nesvarbu, kokie teisėti jie atrodytų.