Чувајте се! Фишинг напади постају паметнији уз валидацију е-поште у реалном времену
Сајбер криминалци подижу љествицу узнемирујућим новим обртом у крађи акредитива, користећи валидацију е-поште у реалном времену како би пхисхинг нападе учинили ефикаснијим и тежим за откривање. Истраживачи у Цофенсе-у су идентификовали ову еволуирајућу тактику и назвали је „пхисхинг-провера прецизности“ – метод који сужава листу циља на само оне адресе е-поште за које је потврђено да су активне и вредне.
За разлику од традиционалних пхисхинг кампања које бацају широку мрежу и надају се неколико залогаја, овај нови приступ је прецизан и промишљен. Уместо да шаљу лажне странице за пријављивање насумичним корисницима, нападачи прво верују да адреса е-поште унета на пхисхинг страници постоји у њиховој бази података унапред прикупљених циљева. Ако се одјави, жртви се приказује лажни екран за пријаву дизајниран за крађу акредитива. Ако не, преусмеравају се на бенигни сајт као што је Википедија, што помаже сајту за крађу идентитета да избегне откривање аутоматских безбедносних скенера.
Ова верификација у реалном времену је омогућена уграђивањем АПИ или ЈаваСцрипт алата за валидацију е-поште у комплет за пхисхинг. Резултат? Квалитетнији украдени подаци, мање изгубљеног труда и пхисхинг кампања коју је теже уочити и искључити алатима за сајбер безбедност.
Преглед садржаја
Филтрирање жртава за максимални утицај
Цофенсе упозорава да ова техника не само да повећава шансе за крађу акредитива са стварних налога који су у употреби, већ и компликује рад аутоматизованих сандбокова и алата за индексирање дизајнираних да хватају злонамерне веб локације. Ови системи често не успевају да прођу проверу ваљаности, што омогућава да страница за крађу идентитета остане активна дуже и избегава да буде означена као сумњива.
Овај ниво филтрирања даје актерима претњи велику предност. Усмеравањем на верификоване циљеве, они смањују ризик од изложености и повећавају поврат улагања. Тактика такође помаже да се продужи животни век пхисхинг кампања, што отежава браниоцима да буду у току.
Фишинг трик за брисање датотека користи двосмерни напад
Додатну опасност, нападачи постављају на ове напредне тактике са стратегијама друштвеног инжењеринга. Једна недавно примећена кампања користи подсетнике за брисање датотека као мамац. Жртве добијају е-пошту за коју се чини да се повезује са ПДФ-ом који је заказан за брисање са легитимне платформе за хостовање датотека, филес.фм. Кликом на везу их заиста води до праве услуге хостинга, где могу приступити ономе што изгледа као ПДФ датотека.
Ево кваке: корисницима су представљене две опције — преглед или преузимање. Преглед отвара лажну Мицрософт страницу за пријаву намењену прикупљању акредитива, док преузимање покреће инсталацију извршне датотеке која се маскира као Мицрософт ОнеДриве. Програм је заправо СцреенЦоннецт, легитимна алатка за удаљену радну површину компаније ЦоннецтВисе, коју актери претњи често злоупотребљавају ради неовлашћеног приступа.
Према Цофенсе-у, напад је паметно дизајниран да манипулише понашањем корисника. Жртве су принуђене да бирају између две подједнако опасне опције, од којих свака води ка компромитовању њиховог система на различите начине. Ово двосмерно подешавање осигурава да актер претње постигне свој циљ, било да се ради о крађи акредитива или примени злонамерног софтвера.
Пецање у комбинацији са даљинским приступом и тактиком Вишинга
У још једном алармантном развоју догађаја, истраживачи сајбер-безбедности су открили вишестепену кампању напада која комбинује пхисхинг са телефонским преварама (висхинг), алатима за даљински приступ и техникама „живота ван земље“. Ова софистицирана операција је у складу са групом актера претњи Олуја-1811 (такође познат као СТАЦ5777).
Напад почиње поруком Мицрософт Теамс-а која садржи злонамерни ПоверСхелл корисни терет. Када се добије почетни приступ, нападачи користе Мицрософтову функцију Куицк Ассист да даљински контролишу систем. Одатле, они инсталирају легитиман софтвер као што је ТеамВиевер уз бочно учитани злонамерни ДЛЛ, и на крају постављају бацкдоор за команду и контролу засновану на ЈаваСцрипт-у користећи Ноде.јс.
Ови инциденти наглашавају све већу сложеност и креативност данашњих претњи пхисхинг-ом. Са тактикама које комбинују техничку софистицираност и психолошку манипулацију, нападачи успевају да заобиђу традиционалне одбране и преваре чак и опрезне кориснике.
Најбоља одбрана је и даље будност. Организације морају да буду информисане о овим новонасталим претњама, а корисници морају двапут да размисле пре него што кликну на линкове, унесу акредитиве или преузму датотеке – без обзира колико легитимне изгледају.