Mag-ingat! Ang Mga Pag-atake sa Phishing ay Nagiging Mas Matalino gamit ang Real-Time Email Validation

Ang mga cybercriminal ay nagtataas ng bar na may nakakagambalang bagong twist sa pagnanakaw ng kredensyal, gamit ang real-time na validation ng email upang gawing mas mahusay at mas mahirap matukoy ang mga pag-atake ng phishing . Natukoy ng mga mananaliksik sa Cofense ang umuusbong na taktika na ito at tinawag itong "pagpapatunay ng katumpakan na phishing" — isang paraan na nagpapaliit sa listahan ng target sa mga email address lamang na nakumpirmang aktibo at mahalaga.

Hindi tulad ng mga tradisyunal na kampanya sa phishing na naglalabas ng malawak na net at umaasa ng ilang kagat, ang bagong diskarte na ito ay tumpak at sinadya. Sa halip na magpadala ng mga mapanlinlang na page sa pag-log in sa mga random na user, i-verify muna ng mga attacker na ang email address na inilagay sa isang phishing page ay umiiral sa kanilang database ng mga pre-harvested na target. Kung susuriin nito, ang biktima ay bibigyan ng pekeng login screen na idinisenyo upang magnakaw ng mga kredensyal. Kung hindi, ire-redirect sila sa isang benign site tulad ng Wikipedia, na tumutulong sa phishing site na maiwasan ang pagtuklas ng mga automated na security scanner.

Ang real-time na pag-verify na ito ay ginawang posible sa pamamagitan ng pag-embed ng API o JavaScript-based na email validation tool sa phishing kit. Ang resulta? Mas mataas na kalidad ang ninakaw na data, hindi gaanong nasasayang na pagsisikap, at isang kampanyang phishing na mas mahirap makita at isara ng mga tool sa cybersecurity.

Pag-filter sa Mga Biktima para sa Pinakamataas na Epekto

Nagbabala si Cofense na hindi lamang pinapataas ng diskarteng ito ang mga pagkakataong magnakaw ng mga kredensyal mula sa mga tunay, ginagamit na mga account, ngunit nagpapakumplikado din sa gawain ng mga awtomatikong sandbox at mga tool sa crawler na idinisenyo upang mahuli ang mga nakakahamak na website. Ang mga system na ito ay madalas na hindi pumasa sa pagsusuri ng pagpapatunay, na nagbibigay-daan sa pahina ng phishing na manatiling aktibo nang mas matagal at maiwasang ma-flag bilang kahina-hinala.

Ang antas ng pagsala na ito ay nagbibigay sa mga aktor ng pagbabanta ng malaking kalamangan. Sa pamamagitan ng pag-zero sa mga na-verify na target, binabawasan nila ang kanilang panganib sa pagkakalantad at pinapataas ang kanilang return on investment. Nakakatulong din ang taktika na palawigin ang habang-buhay ng mga kampanyang phishing, na nagpapahirap sa mga tagapagtanggol na makasabay.

Ang Pag-delete ng File sa Phishing Trick ay Gumagamit ng Dalawang Pronged Attack

Dagdag sa panganib, ang mga umaatake ay naglalagay ng mga advanced na taktika na ito sa mga diskarte sa social engineering. Ang isang kamakailang naobserbahang kampanya ay gumagamit ng mga paalala sa pagtanggal ng file bilang pain. Nakatanggap ang mga biktima ng email na lumilitaw na nagli-link sa isang PDF na nakaiskedyul para sa pagtanggal mula sa isang lehitimong platform ng pagho-host ng file, files.fm. Ang pag-click sa link ay talagang magdadala sa kanila sa tunay na serbisyo sa pagho-host, kung saan maa-access nila ang mukhang isang PDF file.

Narito ang catch: ang mga user ay bibigyan ng dalawang opsyon—preview o download. Ang pag-preview ay nagbubukas ng isang pekeng pahina sa pag-log in sa Microsoft na nilalayon upang makakuha ng mga kredensyal, habang ang pag-download ay nagti-trigger ng pag-install ng isang maipapatupad na pagbabalatkayo bilang Microsoft OneDrive. Ang programa ay talagang ScreenConnect, isang lehitimong remote na tool sa desktop mula sa ConnectWise, kadalasang inaabuso ng mga aktor ng pagbabanta para sa hindi awtorisadong pag-access.

Ayon kay Cofense, ang pag-atake ay matalinong idinisenyo upang manipulahin ang gawi ng user. Ang mga biktima ay napipilitang pumili sa pagitan ng dalawang pantay na mapanganib na opsyon, bawat isa ay humahantong sa kompromiso ng kanilang sistema sa iba't ibang paraan. Tinitiyak ng two-pronged setup na ito na makakamit ng banta ng aktor ang kanilang layunin, ito man ay pagnanakaw ng kredensyal o pag-deploy ng malware.

Pinaghalo ang Phishing sa Remote Access at Vishing Tactics

Sa isa pang nakakaalarmang pag-unlad, natuklasan ng mga mananaliksik sa cybersecurity ang isang multi-stage na kampanya sa pag-atake na pinagsasama ang phishing sa mga scam sa telepono (vishing), remote access tool, at "living-off-the-land" na mga diskarte. Ang sopistikadong operasyong ito ay nakaayon sa banta ng aktor na grupong Storm-1811 (kilala rin bilang STAC5777).

Nagsisimula ang pag-atake sa isang mensahe ng Microsoft Teams na naglalaman ng nakakahamak na PowerShell payload. Kapag nakuha na ang paunang pag-access, ginagamit ng mga umaatake ang tampok na Quick Assist ng Microsoft upang malayuang kontrolin ang system. Mula doon, nag-i-install sila ng lehitimong software tulad ng TeamViewer sa tabi ng naka-sideload na nakakahamak na DLL, at sa wakas ay nag-deploy ng backdoor na command-and-control na nakabatay sa JavaScript gamit ang Node.js.

Itinatampok ng mga insidenteng ito ang pagtaas ng pagiging kumplikado at pagkamalikhain ng mga banta sa phishing ngayon. Gamit ang mga taktika na pinagsasama ang teknikal na pagiging sopistikado at sikolohikal na pagmamanipula, ang mga umaatake ay nagtatagumpay sa pag-bypass sa mga tradisyonal na depensa at panlilinlang kahit na maingat na mga gumagamit.

Ang pinakamahusay na depensa ay patuloy na pagbabantay. Dapat manatiling may kaalaman ang mga organisasyon tungkol sa mga umuusbong na banta na ito, at kailangang mag-isip nang dalawang beses ang mga user bago mag-click ng mga link, magpasok ng mga kredensyal, o mag-download ng mga file—gaano man kalehitimo ang mga ito.