Pozor! Napadi z lažnim predstavljanjem postanejo pametnejši s preverjanjem e-pošte v realnem času
Kibernetski kriminalci dvigujejo lestvico z zaskrbljujočim novim preobratom na področju kraje poverilnic, saj uporabljajo preverjanje elektronske pošte v realnem času, da naredijo napade z lažnim predstavljanjem učinkovitejše in težje odkrite. Raziskovalci pri Cofense so identificirali to razvijajočo se taktiko in jo poimenovali "precizno preverjanje lažnega predstavljanja" – metoda, ki zoži ciljni seznam samo na tiste e-poštne naslove, za katere je potrjeno, da so aktivni in dragoceni.
Za razliko od tradicionalnih kampanj z lažnim predstavljanjem, ki mečejo široko mrežo in upajo na nekaj ugrizov, je ta novi pristop natančen in premišljen. Namesto pošiljanja goljufivih prijavnih strani naključnim uporabnikom, napadalci najprej preverijo, ali e-poštni naslov, vnesen na strani z lažnim predstavljanjem, obstaja v njihovi zbirki podatkov vnaprej pridobljenih ciljev. Če se odjavi, se žrtev prikaže lažen prijavni zaslon, namenjen kraji poverilnic. Če ne, so preusmerjeni na benigno spletno mesto, kot je Wikipedia, ki spletnemu mestu z lažnim predstavljanjem pomaga, da se izogne zaznavanju s strani avtomatskih varnostnih skenerjev.
To preverjanje v realnem času je omogočeno z vdelavo API-ja ali orodja za preverjanje e-pošte, ki temelji na JavaScriptu, v komplet za lažno predstavljanje. rezultat? Ukradeni podatki višje kakovosti, manj zapravljenega truda in lažno predstavljanje, ki ga orodja za kibernetsko varnost težje odkrijejo in zaustavijo.
Kazalo
Filtriranje žrtev za največji učinek
Cofense opozarja, da ta tehnika ne le poveča možnosti za krajo poverilnic iz resničnih računov v uporabi, ampak tudi otežuje delo avtomatiziranih peskovnikov in orodij pajkov, namenjenih lovljenju zlonamernih spletnih mest. Ti sistemi pogosto ne prestanejo potrditvenega preverjanja, zaradi česar stran z lažnim predstavljanjem ostane aktivna dlje časa in se izogne temu, da bi bila označena kot sumljiva.
Ta raven filtriranja daje akterjem groženj veliko prednost. Z osredotočanjem na preverjene cilje zmanjšajo tveganje izpostavljenosti in povečajo donosnost naložbe. Ta taktika prav tako pomaga podaljšati življenjsko dobo lažnih kampanj, zaradi česar jim zagovorniki težje sledijo.
Zvijača z lažnim predstavljanjem brisanja datoteke uporablja dvostranski napad
Še večjo nevarnost napadalci te napredne taktike kombinirajo s strategijami socialnega inženiringa. Ena nedavno opažena kampanja uporablja opomnike za brisanje datotek kot vabo. Žrtve prejmejo e-poštno sporočilo, ki je videti kot povezava do PDF-ja, predvidenega za izbris, z zakonite platforme za gostovanje datotek, files.fm. Klik na povezavo jih dejansko pripelje do prave storitve gostovanja, kjer lahko dostopajo do nečesa, kar je videti kot datoteka PDF.
Tukaj je ulov: uporabnikom sta na voljo dve možnosti – predogled ali prenos. Predogled odpre lažno Microsoftovo stran za prijavo, namenjeno zbiranju poverilnic, medtem ko prenos sproži namestitev izvedljive datoteke, ki je maskirana kot Microsoft OneDrive. Program je pravzaprav ScreenConnect, legitimno orodje za oddaljeno namizje podjetja ConnectWise, ki ga akterji groženj pogosto zlorabljajo za nepooblaščen dostop.
Kot pravi Cofense, je napad premeteno zasnovan za manipulacijo vedenja uporabnikov. Žrtve so prisiljene izbirati med dvema enako nevarnima možnostma, od katerih vsaka na različne načine vodi v ogrožanje njihovega sistema. Ta dvostranska nastavitev zagotavlja, da akter grožnje doseže svoj cilj, ne glede na to, ali gre za krajo poverilnic ali uvedbo zlonamerne programske opreme.
Lažno predstavljanje v kombinaciji z oddaljenim dostopom in taktiko lažnega predstavljanja
V drugem zaskrbljujočem razvoju so raziskovalci kibernetske varnosti odkrili večstopenjsko kampanjo napadov, ki združuje lažno predstavljanje s telefonskimi goljufijami (višing), orodji za oddaljeni dostop in tehnikami "življenja zunaj zemlje". Ta prefinjena operacija je usklajena s skupino akterjev groženj Storm-1811 (znana tudi kot STAC5777).
Napad se začne s sporočilom Microsoft Teams, ki vsebuje zlonamerno vsebino PowerShell. Ko je pridobljen začetni dostop, napadalci uporabijo Microsoftovo funkcijo Quick Assist za daljinsko upravljanje sistema. Od tam namestijo zakonito programsko opremo, kot je TeamViewer, poleg stransko naloženega zlonamernega DLL-ja in končno uvedejo ukazno-nadzorna stranska vrata, ki temeljijo na JavaScriptu, z uporabo Node.js.
Ti incidenti poudarjajo vse večjo kompleksnost in ustvarjalnost današnjih groženj lažnega predstavljanja. S taktikami, ki združujejo tehnično sofisticiranost in psihološko manipulacijo, napadalcem uspeva zaobiti tradicionalne obrambe in pretentati tudi previdne uporabnike.
Najboljša obramba je še naprej budnost. Organizacije morajo biti obveščene o teh nastajajočih grožnjah, uporabniki pa morajo dvakrat premisliti, preden kliknejo povezave, vnesejo poverilnice ali prenesejo datoteke – ne glede na to, kako legitimne so videti.