Awas! Serangan Phishing Menjadi Lebih Pintar dengan Pengesahan E-mel Masa Nyata
Penjenayah siber meningkatkan tahap dengan perubahan baharu yang mengganggu tentang kecurian bukti kelayakan, menggunakan pengesahan e-mel masa nyata untuk menjadikan serangan pancingan data lebih cekap dan lebih sukar untuk dikesan. Penyelidik di Cofense telah mengenal pasti taktik yang berkembang ini dan menggelarnya sebagai "pancingan data yang mengesahkan ketepatan" — kaedah yang mengecilkan senarai sasaran kepada hanya alamat e-mel yang disahkan aktif dan berharga.
Tidak seperti kempen pancingan data tradisional yang menghasilkan jaringan yang luas dan berharap untuk beberapa gigitan, pendekatan baharu ini adalah tepat dan sengaja. Daripada menghantar halaman log masuk palsu kepada pengguna rawak, penyerang terlebih dahulu mengesahkan bahawa alamat e-mel yang dimasukkan pada halaman pancingan data wujud dalam pangkalan data sasaran pra-penuaian mereka. Jika ia menyemak, mangsa dibentangkan dengan skrin log masuk palsu yang direka untuk mencuri bukti kelayakan. Jika tidak, mereka akan diubah hala ke tapak yang jinak seperti Wikipedia, yang membantu tapak pancingan data mengelakkan pengesanan oleh pengimbas keselamatan automatik.
Pengesahan masa nyata ini dimungkinkan dengan membenamkan alat pengesahan e-mel berasaskan API atau JavaScript ke dalam kit pancingan data. Hasilnya? Data curi yang lebih berkualiti, usaha yang kurang sia-sia dan kempen pancingan data yang lebih sukar untuk alat keselamatan siber dikesan dan ditutup.
Isi kandungan
Menapis Mangsa untuk Kesan Maksimum
Cofense memberi amaran bahawa teknik ini bukan sahaja meningkatkan peluang untuk mencuri bukti kelayakan daripada akaun sebenar yang sedang digunakan, tetapi juga merumitkan kerja kotak pasir automatik dan alat perangkak yang direka untuk menangkap tapak web berniat jahat. Sistem ini selalunya gagal melepasi semakan pengesahan, membolehkan halaman pancingan data kekal aktif lebih lama dan mengelak daripada dibenderakan sebagai mencurigakan.
Tahap penapisan ini memberikan pelakon ancaman kelebihan utama. Dengan memusatkan perhatian pada sasaran yang disahkan, mereka mengurangkan risiko pendedahan dan meningkatkan pulangan pelaburan mereka. Taktik ini juga membantu memanjangkan jangka hayat kempen pancingan data, menjadikannya lebih sukar bagi pembela untuk mengikutinya.
Trik Pemadaman Pancingan Fail Menggunakan Serangan Dua Cabang
Menambah bahaya, penyerang melapisi taktik lanjutan ini dengan strategi kejuruteraan sosial. Satu kempen yang diperhatikan baru-baru ini menggunakan peringatan pemadaman fail sebagai umpan. Mangsa menerima e-mel yang kelihatan memaut ke PDF yang dijadualkan untuk dipadamkan daripada platform pengehosan fail yang sah, files.fm. Mengklik pautan sememangnya membawa mereka ke perkhidmatan pengehosan sebenar, di mana mereka boleh mengakses apa yang kelihatan seperti fail PDF.
Inilah tangkapannya: pengguna dibentangkan dengan dua pilihan—pratonton atau muat turun. Pratonton membuka halaman log masuk Microsoft palsu yang bertujuan untuk menuai kelayakan, manakala muat turun mencetuskan pemasangan penyamaran boleh laku sebagai Microsoft OneDrive. Program ini sebenarnya ScreenConnect, alat desktop jauh yang sah dari ConnectWise, sering disalahgunakan oleh pelaku ancaman untuk akses tanpa kebenaran.
Menurut Cofense, serangan itu direka dengan bijak untuk memanipulasi tingkah laku pengguna. Mangsa terpaksa memilih antara dua pilihan yang sama berbahaya, setiap satu membawa kepada kompromi sistem mereka dengan cara yang berbeza. Persediaan serampang dua mata ini memastikan pelaku ancaman mencapai matlamat mereka, sama ada pencurian kelayakan atau penggunaan perisian hasad.
Phishing Digabungkan dengan Akses Jauh dan Taktik Vishing
Dalam perkembangan lain yang membimbangkan, penyelidik keselamatan siber telah menemui kempen serangan berbilang peringkat yang menggabungkan pancingan data dengan penipuan telefon (vishing), alat capaian jauh dan teknik "tinggal di luar negeri". Operasi canggih ini sejajar dengan kumpulan pelakon ancaman Storm-1811 (juga dikenali sebagai STAC5777).
Serangan bermula dengan mesej Microsoft Teams yang mengandungi muatan PowerShell yang berniat jahat. Setelah akses awal diperoleh, penyerang menggunakan ciri Bantuan Pantas Microsoft untuk mengawal sistem dari jauh. Dari situ, mereka memasang perisian yang sah seperti TeamViewer bersama DLL berniat jahat yang dimuat sisi, dan akhirnya menggunakan pintu belakang arahan dan kawalan berasaskan JavaScript menggunakan Node.js.
Insiden ini menyerlahkan peningkatan kerumitan dan kreativiti ancaman pancingan data hari ini. Dengan taktik yang menggabungkan kecanggihan teknikal dan manipulasi psikologi, penyerang berjaya memintas pertahanan tradisional dan menipu walaupun pengguna yang berhati-hati.
Pertahanan terbaik terus berjaga-jaga. Organisasi mesti sentiasa dimaklumkan tentang ancaman yang muncul ini dan pengguna perlu berfikir dua kali sebelum mengklik pautan, memasukkan bukti kelayakan atau memuat turun fail—tidak kira betapa sahnya ia muncul.