Pass på! Phishing-angrep Bli smartere med e-postvalidering i sanntid
Nettkriminelle hever standarden med en urovekkende ny vri på legitimasjonstyveri, og bruker sanntids e-postvalidering for å gjøre phishing-angrep mer effektive og vanskeligere å oppdage. Forskere ved Cofense har identifisert denne utviklende taktikken og kalt den "presisjonsvaliderende phishing" - en metode som begrenser mållisten til bare de e-postadressene som er bekreftet å være aktive og verdifulle.
I motsetning til tradisjonelle phishing-kampanjer som kaster et bredt nett og håper på noen biter, er denne nye tilnærmingen presis og bevisst. I stedet for å sende falske påloggingssider til tilfeldige brukere, bekrefter angripere først at e-postadressen som er angitt på en phishing-side, finnes i databasen deres med forhåndsinnhentede mål. Hvis den sjekker ut, blir offeret presentert med en falsk påloggingsskjerm designet for å stjele legitimasjon. Hvis ikke, blir de omdirigert til et godartet nettsted som Wikipedia, noe som hjelper phishing-nettstedet å unngå oppdagelse av automatiske sikkerhetsskannere.
Denne sanntidsverifiseringen er gjort mulig ved å bygge inn et API- eller JavaScript-basert e-postvalideringsverktøy i phishing-settet. Resultatet? Stjålet data av høyere kvalitet, mindre bortkastet innsats og en phishing-kampanje som er vanskeligere for cybersikkerhetsverktøy å oppdage og stenge.
Innholdsfortegnelse
Filtrering av ofre for maksimal effekt
Cofense advarer om at denne teknikken ikke bare øker sjansene for å stjele legitimasjon fra ekte kontoer som er i bruk, men også kompliserer arbeidet med automatiserte sandkasser og robotsøkeverktøy designet for å fange opp ondsinnede nettsteder. Disse systemene klarer ofte ikke å bestå valideringskontrollen, noe som gjør at phishing-siden kan forbli aktiv lenger og unngå å bli flagget som mistenkelig.
Dette filtreringsnivået gir trusselaktører en stor fordel. Ved å nullstille verifiserte mål reduserer de risikoen for eksponering og øker avkastningen på investeringen. Taktikken bidrar også til å forlenge levetiden til phishing-kampanjer, noe som gjør det vanskeligere for forsvarere å følge med.
Filsletting Phishing-triks bruker todelt angrep
For å øke faren, legger angripere sammen disse avanserte taktikkene med sosiale ingeniørstrategier. En nylig observert kampanje bruker påminnelser om filsletting som agn. Ofre mottar en e-post som ser ut til å koble til en PDF som er planlagt for sletting fra en legitim filvertsplattform, files.fm. Å klikke på lenken tar dem faktisk til den virkelige vertstjenesten, hvor de kan få tilgang til det som ser ut som en PDF-fil.
Her er fangsten: brukere blir presentert med to alternativer – forhåndsvisning eller nedlasting. Forhåndsvisning åpner en falsk Microsoft-påloggingsside som er beregnet på å innhente legitimasjon, mens nedlasting utløser installasjonen av en kjørbar maskering som Microsoft OneDrive. Programmet er egentlig ScreenConnect, et legitimt eksternt skrivebordsverktøy fra ConnectWise, ofte misbrukt av trusselaktører for uautorisert tilgang.
Ifølge Cofense er angrepet smart utformet for å manipulere brukeratferd. Ofre blir tvunget til å velge mellom to like farlige alternativer, som hver fører til kompromiss med systemet deres på forskjellige måter. Dette todelte oppsettet sikrer at trusselaktøren når målet sitt, enten det er legitimasjonstyveri eller distribusjon av skadelig programvare.
Phishing blandet med fjerntilgang og Vishing-taktikker
I en annen alarmerende utvikling har cybersikkerhetsforskere avdekket en flertrinns angrepskampanje som blander phishing med telefonsvindel (vishing), fjerntilgangsverktøy og "living-off-the-land"-teknikker. Denne sofistikerte operasjonen er på linje med trusselaktørgruppen Storm-1811 (også kjent som STAC5777).
Angrepet starter med en Microsoft Teams-melding som inneholder en ondsinnet PowerShell-nyttelast. Når den første tilgangen er oppnådd, bruker angripere Microsofts Quick Assist-funksjon til å fjernstyre systemet. Derfra installerer de legitim programvare som TeamViewer sammen med en sidelastet ondsinnet DLL, og distribuerer til slutt en JavaScript-basert kommando-og-kontroll-bakdør ved hjelp av Node.js.
Disse hendelsene fremhever den økende kompleksiteten og kreativiteten til dagens phishing-trusler. Med taktikk som kombinerer teknisk raffinement og psykologisk manipulasjon, lykkes angripere med å omgå tradisjonelle forsvar og lure selv forsiktige brukere.
Det beste forsvaret fortsetter å være årvåkenhet. Organisasjoner må holde seg informert om disse nye truslene, og brukere må tenke seg om to ganger før de klikker på koblinger, legger inn legitimasjon eller laster ned filer – uansett hvor legitime de kan virke.