Akta sig! Nätfiskeattacker Bli smartare med e-postvalidering i realtid
Cyberbrottslingar höjer ribban med en oroande ny twist på identitetsstöld, och använder e-postvalidering i realtid för att göra nätfiskeattacker effektivare och svårare att upptäcka. Forskare vid Cofense har identifierat denna utvecklande taktik och kallat den "precisionsvaliderande nätfiske" - en metod som begränsar mållistan till endast de e-postadresser som bekräftats vara aktiva och värdefulla.
Till skillnad från traditionella nätfiskekampanjer som kastar ett brett nät och hoppas på några tuggor, är detta nya tillvägagångssätt exakt och medvetet. Istället för att skicka bedrägliga inloggningssidor till slumpmässiga användare, verifierar angriparna först att e-postadressen som angetts på en nätfiskesida finns i deras databas med förskördade mål. Om det checkar ut, presenteras offret med en falsk inloggningsskärm utformad för att stjäla referenser. Om inte, omdirigeras de till en godartad webbplats som Wikipedia, vilket hjälper nätfiskesidan att undvika upptäckt av automatiska säkerhetsskannrar.
Denna realtidsverifiering är möjlig genom att bädda in ett API- eller JavaScript-baserat e-postvalideringsverktyg i nätfiskepaketet. Resultatet? Stöld data av högre kvalitet, mindre slöseri och en nätfiskekampanj som är svårare för cybersäkerhetsverktyg att upptäcka och stänga av.
Innehållsförteckning
Filtrera offer för maximal effekt
Cofense varnar för att den här tekniken inte bara ökar chanserna att stjäla referenser från riktiga konton som används, utan också komplicerar arbetet med automatiserade sandlådor och sökrobotar som är utformade för att fånga skadliga webbplatser. Dessa system klarar ofta inte valideringskontrollen, vilket gör att nätfiskesidan förblir aktiv längre och undviker att flaggas som misstänkt.
Denna nivå av filtrering ger hotaktörer en stor fördel. Genom att nollställa verifierade mål minskar de risken för exponering och ökar avkastningen på investeringen. Taktiken hjälper också till att förlänga livslängden för nätfiskekampanjer, vilket gör det svårare för försvarare att hänga med.
Filradering Nätfisketrick använder tvådelad attack
För att öka faran kombinerar angripare dessa avancerade taktiker med sociala ingenjörsstrategier. En nyligen observerad kampanj använder påminnelser om filradering som bete. Offren får ett e-postmeddelande som verkar länka till en PDF som är planerad att raderas från en legitim filvärdplattform, files.fm. Att klicka på länken tar dem verkligen till den riktiga värdtjänsten, där de kan komma åt vad som ser ut som en PDF-fil.
Här är haken: användare presenteras med två alternativ – förhandsgranska eller ladda ner. Förhandsgranskning öppnar en falsk Microsoft-inloggningssida avsedd att samla in autentiseringsuppgifter, medan nedladdning utlöser installationen av en körbar fil som maskerar sig som Microsoft OneDrive. Programmet är egentligen ScreenConnect, ett legitimt fjärrskrivbordsverktyg från ConnectWise, som ofta missbrukas av hotaktörer för obehörig åtkomst.
Enligt Cofense är attacken smart designad för att manipulera användarbeteende. Offren tvingas välja mellan två lika farliga alternativ, som var och en leder till att deras system kompromissar på olika sätt. Den här tvådelade installationen säkerställer att hotaktören uppnår sitt mål, oavsett om det är identitetsstöld eller distribution av skadlig programvara.
Nätfiske blandat med fjärråtkomst och vishingtaktik
I en annan alarmerande utveckling har cybersäkerhetsforskare avslöjat en attackkampanj i flera steg som blandar nätfiske med telefonbedrägerier (vishing), verktyg för fjärråtkomst och "living-off-the-land"-tekniker. Denna sofistikerade operation är i linje med hot-aktörsgruppen Storm-1811 (även känd som STAC5777).
Attacken börjar med ett Microsoft Teams-meddelande som innehåller en skadlig PowerShell-nyttolast. När den första åtkomsten har uppnåtts använder angripare Microsofts Quick Assist-funktion för att fjärrstyra systemet. Därifrån installerar de legitim programvara som TeamViewer tillsammans med en sidladdad skadlig DLL, och distribuerar slutligen en JavaScript-baserad kommando-och-kontroll-bakdörr med Node.js.
Dessa incidenter belyser den ökande komplexiteten och kreativiteten hos dagens nätfiskehot. Med taktik som kombinerar teknisk sofistikering och psykologisk manipulation, lyckas angripare kringgå traditionella försvar och lura även försiktiga användare.
Det bästa försvaret fortsätter att vara vaksamhet. Organisationer måste hålla sig informerade om dessa nya hot och användare måste tänka två gånger innan de klickar på länkar, anger referenser eller laddar ner filer – oavsett hur legitima de kan verka.