Kujdes! Sulmet e phishing bëhen më inteligjente me verifikimin e postës elektronike në kohë reale
Kriminelët kibernetikë po ngrenë shiritin me një kthesë të re shqetësuese në vjedhjen e kredencialeve, duke përdorur vërtetimin e emailit në kohë reale për t'i bërë sulmet e phishing më efikase dhe më të vështira për t'u zbuluar. Studiuesit në Cofense e kanë identifikuar këtë taktikë në zhvillim dhe e kanë quajtur "phishing me verifikim të saktë" - një metodë që ngushton listën e synuar vetëm në ato adresa emaili të konfirmuara se janë aktive dhe të vlefshme.
Ndryshe nga fushatat tradicionale të phishing që hedhin një rrjet të gjerë dhe shpresojnë për disa kafshime, kjo qasje e re është e saktë dhe e qëllimshme. Në vend që të dërgojnë faqe mashtruese të hyrjes tek përdoruesit e rastësishëm, sulmuesit fillimisht verifikojnë që adresa e emailit e futur në një faqe phishing ekziston në bazën e të dhënave të tyre të objektivave të mbledhura paraprakisht. Nëse kontrollohet, viktimës i paraqitet një ekran i rremë identifikimi i krijuar për të vjedhur kredencialet. Nëse jo, ato ridrejtohen në një sajt të mirë si Wikipedia, e cila ndihmon faqen e phishing-ut të shmangë zbulimin nga skanerët e automatizuar të sigurisë.
Ky verifikim në kohë reale është bërë i mundur duke futur një mjet vërtetimi të email-it të bazuar në API ose JavaScript në kompletin e phishing. Rezultati? Të dhëna të vjedhura me cilësi më të lartë, më pak përpjekje të humbura dhe një fushatë phishing që është më e vështirë për mjetet e sigurisë kibernetike të zbulohen dhe mbyllen.
Tabela e Përmbajtjes
Filtrimi i viktimave për ndikim maksimal
Cofense paralajmëron se kjo teknikë jo vetëm që rrit shanset për të vjedhur kredencialet nga llogaritë reale, në përdorim, por gjithashtu ndërlikon punën e kutive të automatizuara të rërës dhe mjeteve zvarritëse të krijuara për të kapur faqet e internetit me qëllim të keq. Këto sisteme shpesh dështojnë të kalojnë kontrollin e vlefshmërisë, duke lejuar që faqja e phishing të qëndrojë aktive më gjatë dhe të shmangë raportimin si të dyshimtë.
Ky nivel filtrimi u jep aktorëve të kërcënimit një avantazh të madh. Duke zeruar objektivat e verifikuar, ata reduktojnë rrezikun e ekspozimit dhe rrisin kthimin e tyre nga investimi. Taktika gjithashtu ndihmon në zgjatjen e jetëgjatësisë së fushatave të phishing, duke e bërë më të vështirë për mbrojtësit që të vazhdojnë.
Truku i phishing për fshirjen e skedarëve përdor sulm me dy anë
Duke shtuar rrezikun, sulmuesit po i shtresojnë këto taktika të avancuara me strategjitë e inxhinierisë sociale. Një fushatë e vëzhguar kohët e fundit përdor kujtesën e fshirjes së skedarëve si karrem. Viktimat marrin një email që duket se lidhet me një PDF të planifikuar për fshirje nga një platformë legjitime e pritjes së skedarëve, files.fm. Klikimi i lidhjes me të vërtetë i çon ata në shërbimin e vërtetë të pritjes, ku mund të hyjnë në atë që duket si një skedar PDF.
Këtu është kapja: përdoruesve u paraqiten dy opsione - shikimi paraprak ose shkarkimi. Pamja paraprake hap një faqe të rreme identifikimi të Microsoft-it që synon të mbledhë kredencialet, ndërsa shkarkimi shkakton instalimin e një skedari të ekzekutueshëm të maskuar si Microsoft OneDrive. Programi është në të vërtetë ScreenConnect, një mjet legjitim i desktopit në distancë nga ConnectWise, shpesh i abuzuar nga aktorët e kërcënimit për akses të paautorizuar.
Sipas Cofense, sulmi është krijuar me zgjuarsi për të manipuluar sjelljen e përdoruesit. Viktimat detyrohen të zgjedhin midis dy opsioneve po aq të rrezikshme, ku secila çon në kompromisin e sistemit të tyre në mënyra të ndryshme. Ky konfigurim i dyfishtë siguron që aktori i kërcënimit të arrijë qëllimin e tij, pavarësisht nëse është vjedhje kredenciale ose vendosje malware.
Phishing i kombinuar me Taktikat e Qasjes në distancë dhe Vishing
Në një tjetër zhvillim alarmues, studiuesit e sigurisë kibernetike kanë zbuluar një fushatë sulmi me shumë faza që ndërthur phishing me mashtrimet telefonike (vishing), mjetet e aksesit në distancë dhe teknikat "të jetuarit jashtë tokës". Ky operacion i sofistikuar përputhet me grupin e aktorëve të kërcënimit Storm-1811 (i njohur gjithashtu si STAC5777).
Sulmi fillon me një mesazh të Microsoft Teams që përmban një ngarkesë me qëllim të keq të PowerShell. Pasi të arrihet qasja fillestare, sulmuesit përdorin veçorinë e Ndihmës së shpejtë të Microsoft për të kontrolluar nga distanca sistemin. Nga atje, ata instalojnë softuer legjitim si TeamViewer së bashku me një DLL me qëllim të keq të ngarkuar anash, dhe më në fund vendosin një derë të pasme të komandës dhe kontrollit të bazuar në JavaScript duke përdorur Node.js.
Këto incidente nxjerrin në pah kompleksitetin dhe kreativitetin në rritje të kërcënimeve të sotme të phishing. Me taktika që kombinojnë sofistikimin teknik dhe manipulimin psikologjik, sulmuesit po arrijnë të anashkalojnë mbrojtjen tradicionale dhe të mashtrojnë edhe përdoruesit e kujdesshëm.
Mbrojtja më e mirë vazhdon të jetë vigjilenca. Organizatat duhet të qëndrojnë të informuara për këto kërcënime në zhvillim dhe përdoruesit duhet të mendojnë dy herë përpara se të klikojnë lidhjet, të futin kredencialet ose të shkarkojnë skedarë – pavarësisht se sa legjitime mund të duken ato.