Uzmanies! Pikšķerēšanas uzbrukumi kļūst gudrāki, izmantojot reāllaika e-pasta validāciju
Kibernoziedznieki paaugstina latiņu ar jaunu satraucošu pavērsienu attiecībā uz akreditācijas datu zādzību, izmantojot reāllaika e-pasta validāciju, lai padarītu pikšķerēšanas uzbrukumus efektīvākus un grūtāk atklātus. Cofense pētnieki ir identificējuši šo attīstošo taktiku un nodēvējuši to par "precīzas validācijas pikšķerēšanu" — metodi, kas sašaurina mērķa sarakstu, iekļaujot tikai tās e-pasta adreses, kuras ir apstiprinātas kā aktīvas un vērtīgas.
Atšķirībā no tradicionālajām pikšķerēšanas kampaņām, kas met plašu tīklu un cer uz dažiem kodumiem, šī jaunā pieeja ir precīza un apzināta. Tā vietā, lai nejaušiem lietotājiem nosūtītu krāpnieciskas pieteikšanās lapas, uzbrucēji vispirms pārbauda, vai pikšķerēšanas lapā ievadītā e-pasta adrese pastāv viņu iepriekš iegūto mērķu datubāzē. Ja tas tiek pārbaudīts, cietušajam tiek parādīts viltots pieteikšanās ekrāns, kas paredzēts akreditācijas datu nozagšanai. Ja nē, tie tiek novirzīti uz labdabīgu vietni, piemēram, Wikipedia, kas palīdz pikšķerēšanas vietnei izvairīties no automātisko drošības skeneru atklāšanas.
Šī reāllaika pārbaude ir iespējama, pikšķerēšanas komplektā ieguljot API vai JavaScript balstītu e-pasta validācijas rīku. Rezultāts? Augstākas kvalitātes nozagti dati, mazāk izšķiestu pūļu un pikšķerēšanas kampaņa, kuru kiberdrošības rīkiem ir grūtāk pamanīt un izslēgt.
Satura rādītājs
Upuru filtrēšana maksimālai ietekmei
Cofense brīdina, ka šis paņēmiens ne tikai palielina iespēju nozagt akreditācijas datus no reāliem, lietotiem kontiem, bet arī sarežģī automatizēto smilšu kastu un rāpuļprogrammu rīku darbu, kas paredzēti ļaunprātīgu vietņu uztveršanai. Šīs sistēmas bieži neiztur validācijas pārbaudi, ļaujot pikšķerēšanas lapai palikt aktīvai ilgāk un izvairīties no aizdomīgas atzīmēšanas.
Šāds filtrēšanas līmenis draudu dalībniekiem sniedz lielas priekšrocības. Novērtējot pārbaudītos mērķus, tie samazina iedarbības risku un palielina ieguldījumu atdevi. Šī taktika arī palīdz pagarināt pikšķerēšanas kampaņu ilgumu, apgrūtinot aizstāvjiem sekot līdzi.
Failu dzēšanas pikšķerēšanas triks izmanto divvirzienu uzbrukumu
Palielinot briesmas, uzbrucēji izmanto šīs uzlabotās taktikas ar sociālās inženierijas stratēģijām. Vienā nesen novērotā kampaņā kā ēsma tiek izmantoti atgādinājumi par failu dzēšanu. Upuri saņem e-pasta ziņojumu, kurā, šķiet, ir saite uz PDF failu, kuru paredzēts dzēst no likumīgas failu mitināšanas platformas files.fm. Noklikšķinot uz saites, viņi patiešām tiek novirzīti uz reālo mitināšanas pakalpojumu, kur viņi var piekļūt tam, kas izskatās pēc PDF faila.
Šeit ir āķis: lietotājiem tiek piedāvātas divas iespējas — priekšskatīt vai lejupielādēt. Priekšskatīšanā tiek atvērta viltota Microsoft pieteikšanās lapa, kas paredzēta akreditācijas datu iegūšanai, savukārt lejupielāde aktivizē izpildāmā faila instalēšanu, kas maskēts kā Microsoft OneDrive. Programma faktiski ir ScreenConnect, likumīgs attālās darbvirsmas rīks no ConnectWise, ko bieži ļaunprātīgi izmanto apdraudējuma dalībnieki, lai nesankcionētu piekļuvi.
Saskaņā ar Cofense teikto, uzbrukums ir gudri izstrādāts, lai manipulētu ar lietotāju uzvedību. Cietušie ir spiesti izvēlēties starp diviem vienlīdz bīstamiem variantiem, un katrs no tiem dažādos veidos noved pie viņu sistēmas kompromitēšanas. Šī divvirzienu iestatīšana nodrošina, ka apdraudējuma dalībnieks sasniedz savu mērķi neatkarīgi no tā, vai tā ir akreditācijas datu zādzība vai ļaunprātīgas programmatūras izvietošana.
Pikšķerēšana, kas apvienota ar attālo piekļuvi un vishing taktiku
Citā satraucošā notikumā kiberdrošības pētnieki ir atklājuši daudzpakāpju uzbrukumu kampaņu, kas apvieno pikšķerēšanu ar tālruņa krāpniecību (vishing), attālās piekļuves rīkiem un "dzīves ārpus zemes" metodēm. Šī izsmalcinātā darbība ir saskaņota ar apdraudējuma dalībnieku grupu Storm-1811 (pazīstama arī kā STAC5777).
Uzbrukums sākas ar Microsoft Teams ziņojumu, kurā ir ietverta ļaunprātīga PowerShell slodze. Kad sākotnējā piekļuve ir iegūta, uzbrucēji izmanto Microsoft Quick Assist funkciju, lai attālināti vadītu sistēmu. Pēc tam viņi instalē likumīgu programmatūru, piemēram, TeamViewer, kopā ar sānu ielādētu ļaunprātīgu DLL un, visbeidzot, izvieto uz JavaScript balstītu komandu un vadības aizmugures durvis, izmantojot Node.js.
Šie incidenti liecina par mūsdienu pikšķerēšanas draudu pieaugošo sarežģītību un radošumu. Ar taktiku, kas apvieno tehnisko izsmalcinātību un psiholoģiskas manipulācijas, uzbrucējiem izdodas apiet tradicionālos aizsardzības līdzekļus un apmānīt pat piesardzīgus lietotājus.
Labākā aizsardzība joprojām ir modrība. Organizācijām ir jābūt informētām par šiem jaunajiem draudiem, un lietotājiem ir divreiz jāpadomā, pirms noklikšķina uz saitēm, ievada akreditācijas datus vai lejupielādē failus — neatkarīgi no tā, cik likumīgi tie var šķist.