- Interneti-turvalisus on vaid suhteline, paljude turvaekspertide silmis illusioon.
- Küberturbefirma Zscaler tõmbas kaaned maha uuelt AiTM-i andmepüügikampaanialt.
- Sihtmärgid on Microsoft Maili kasutajad ja me näitame teile, kuidas see töötab.
Lugege väga hoolikalt, mida me selles artiklis kirjutame, sest keegi pole kaitstud ründajate ja nende praegu kasutatavate meetodite eest.
Täpsemalt peavad Microsofti meiliteenuste kasutajad olema tõesti valvel, sest Zscaler, küberturvalisuse uuringufirma, avastas just uue käimasoleva andmepüügikampaania, mis on suunatud Microsofti meilikasutajatele.
Mitte selleks, et teid hirmutada, kuid ettevõtte sõnul on ärikasutajad rünnaku all ja kampaaniat kasutatakse vastase (AiTM) tehnikaga, et vältida mitmefaktorilist autentimist.
Andmepüügikampaania kasutab teie mandaatide varastamiseks AiTM-i meetodit
Isegi Redmondi tehnikahiiglane tunnistas seda probleemi juulis, kui lõi a ajaveebi postitus mõeldud kasutajate hoiatamiseks eelseisva ohu eest.
Teie kiiruse suurendamiseks asetab see AiTM-i tehnika keskele vastase, et peatada kliendi ja serveri vaheline autentimisprotsess.
Ütlematagi selge, et selle vahetuse ajal on kõik teie volikirjad nagu kadunud, sest selle tulemusel saavad need pahatahtlikud kolmandad osapooled.
Ja nagu oleksite oodanud, tähendab see ka MFA teabe varastamist. Seetõttu käitub keskel olev vastane tõelise kliendi jaoks nagu server ja klient pärisserveri jaoks.
| Ründaja registreeritud domeeninimi | Legitaalne Federal Credit Union domeeninimi |
| crossvalleyfcv[.]org | crossvalleyfcu[.]org |
| triboro-fcv[.]org | triboro-fcu[.]org |
| cityfederalcv[.]com | cityfederalcu[.]com |
| portconnfcuu[.]com | portconnfcu[.]com |
| oufcv[.]com | oufcu[.]com |
Nagu turbeeksperdid selgitasid, on see kampaania spetsiaalselt loodud selleks, et jõuda lõppkasutajateni ettevõtetes, mis kasutavad Microsofti meiliteenuseid.
Pidage meeles, et ettevõtte e-posti kompromiss (BEC) on jätkuvalt organisatsioonidele pidev oht ja see kampaania rõhutab veelgi vajadust kaitsta selliste rünnakute eest.
Need on mõned põhipunktid, mille küberjulgeoleku eksperdid on vaadeldava ohu analüüsi tulemusel kokku võtnud:
- Selle laiaulatusliku andmepüügikampaania peamised sihtmärgid on Microsofti meiliteenuste ettevõttekasutajad.
- Kõik need andmepüügirünnakud saavad alguse ohvrile saadetud meilist koos pahatahtliku lingiga.
- Kampaania on ajaveebi avaldamise ajal aktiivne ja ohutegija registreerib peaaegu iga päev uusi andmepüügidomeene.
- Mõnel juhul sattusid juhtide ärimeilid selle andmepüügirünnakuga ohtu ja hiljem kasutati neid sama kampaania raames täiendavate andmepüügimeilide saatmiseks.
- Sihitud on mõned peamised tööstusharu vertikaalvaldkonnad, nagu FinTech, laenuandmine, kindlustus, energeetika ja tootmine sellistes geograafilistes piirkondades nagu USA, Ühendkuningriik, Uus-Meremaa ja Austraalia.
- Nendes rünnetes kasutatakse kohandatud puhverserveripõhist andmepüügikomplekti, mis suudab mitmefaktorilisest autentimisest (MFA) mööda minna.
- Ohustaja kasutab automatiseeritud URL-i analüüsisüsteemidest mööda hiilimiseks mitmesuguseid varjamise ja brauseri sõrmejälgede võtmise tehnikaid.
- Ettevõtte e-posti URL-i analüüsilahendustest kõrvalehoidmiseks kasutatakse arvukalt URL-i ümbersuunamismeetodeid.
- Kampaania säilivusaja pikendamiseks kuritarvitatakse seaduslikke veebipõhiseid kooditöötlusteenuseid, nagu CodeSandbox ja Glitch.
Föderaalse krediidiliidu teemat kasutavate algsete meilide analüüsi põhjal täheldasime huvitavat mustrit. Need meilid pärinevad vastavate föderaalse krediidiühistute organisatsioonide tegevjuhtide e-posti aadressidelt.
Lubage meil mainida ka seda, et mõned ründajate registreeritud domeenid olid USA seaduslike föderaalsete krediidiühistute kirjavigadega versioonid.
Tänapäeval on piir võrguohutuse ja kogu teie tegevuse ohustamise vahel nii hea, et selle nägemiseks on vaja aatommikroskoopi.
Seetõttu kuulutame alati ohutust, mis tähendab:
- Ärge kunagi laadige midagi alla juhuslikest, ebaturvalistest allikatest.
- Ärge kunagi avaldage kellelegi oma mandaate ega muud tundlikku teavet.
- Ärge laske inimestel, keda te ei usalda, oma arvutit kasutada.
- Ärge avage linke, mis on saadud e-kirjades, mis pärinevad ebausaldusväärsetest allikatest.
- Alati viirusetõrjetarkvara.
Selles pidevalt muutuvas veebidžunglis turvalisuse tagamine on teie enda teha, seega võtke kindlasti kasutusele kõik vajalikud ohutusmeetmed, et katastroofi vältida.
Kas olete viimasel ajal selliseid e-kirju saanud? Jagage oma kogemusi meiega allpool olevas kommentaaride jaotises.
