- Online sigurnost samo je relativna, iluzija u očima mnogih sigurnosnih stručnjaka.
- Tvrtka za kibernetičku sigurnost Zscaler povukla je masku s nove AiTM phishing kampanje.
- Meta su korisnici Microsoftove pošte, a mi ćemo vam pokazati kako to funkcionira.
Pažljivo pročitajte što ćemo napisati u ovom članku, jer nitko nije siguran od napadača i metoda koje oni trenutno koriste.
Da budemo precizniji, korisnici Microsoftove usluge e-pošte moraju biti na oprezu jer Zscaler, tvrtka za istraživanje kibernetičke sigurnosti, upravo je otkrila novu kampanju krađe identiteta koja je u tijeku usmjerena na Microsoftove korisnike e-pošte.
Ne da vas prestrašim, ali prema tvrtki, korporativni korisnici su napadnuti, a kampanja se vodi korištenjem tehnike neprijatelja u sredini (AiTM) kako bi se zaobišla autentifikacija s više faktora.
Phishing kampanja koristi AiTM metodu za krađu vaših vjerodajnica
Čak je i tehnološki div iz Redmonda priznao ovaj problem još u srpnju kada je stvorio post na blogu namijenjeno upozorenju korisnika o nadolazećoj opasnosti.
Kako bismo vas upoznali s time, ova tehnika AiTM postavlja protivnika u sredinu kako bi presreo proces autentifikacije između klijenta i poslužitelja.
Nepotrebno je reći da su, tijekom ove razmjene, sve vaše vjerodajnice kao da su nestale, jer će ih zlonamjerne treće strane imati kao rezultat.
I, kao što ste očekivali, to također znači da su podaci MFA-a ukradeni. Stoga se protivnik u sredini ponaša kao poslužitelj prema pravom klijentu i kao klijent prema pravom poslužitelju.
| Naziv domene koju je registrirao napadač | Zakonit naziv domene Savezne kreditne unije |
| crossvalleyfcv[.]org | crossvalleyfcu[.]org |
| triboro-fcv[.]org | triboro-fcu[.]org |
| cityfederalcv[.]com | cityfederalcu[.]com |
| portconnfcuu[.]com | portconnfcu[.]com |
| oufcv[.]com | oufcu[.]com |
Kako su objasnili sigurnosni stručnjaci, ova je kampanja posebno osmišljena kako bi doprla do krajnjih korisnika u tvrtkama koje koriste Microsoftove usluge e-pošte.
Upamtite da je kompromisija poslovne e-pošte (BEC) i dalje uvijek prisutna prijetnja organizacijama i ova kampanja dodatno naglašava potrebu zaštite od takvih napada.
Ovo su neke od ključnih točaka koje su stručnjaci za kibernetičku sigurnost saželi kao rezultat analize prijetnje o kojoj se radi:
- Korporativni korisnici Microsoftovih usluga e-pošte glavne su mete ove velike phishing kampanje.
- Svi ti phishing napadi započinju slanjem e-pošte žrtvi sa zlonamjernom vezom.
- Kampanja je aktivna u vrijeme objave bloga, a akter prijetnje registrira nove phishing domene gotovo svaki dan.
- U nekim slučajevima, poslovna e-pošta rukovoditelja bila je ugrožena korištenjem ovog phishing napada i kasnije korištena za slanje daljnjih phishing e-poruka u sklopu iste kampanje.
- Ciljane su neke od ključnih industrijskih vertikala kao što su FinTech, kreditiranje, osiguranje, energetika i proizvodnja u geografskim regijama kao što su SAD, UK, Novi Zeland i Australija.
- U ovim se napadima koristi prilagođeni komplet za krađu identiteta temeljen na proxyju koji može zaobići višestruku provjeru autentičnosti (MFA).
- Prijetnja se koristi različitim tehnikama maskiranja i otiska prsta preglednika kako bi zaobišao automatizirane sustave za analizu URL-a.
- Brojne metode preusmjeravanja URL-ova koriste se za izbjegavanje korporativnih rješenja za analizu URL-ova e-pošte.
- Legitimne online usluge za uređivanje koda kao što su CodeSandbox i Glitch zlorabe se kako bi se produžio rok trajanja kampanje.
Prema našoj analizi izvornih e-poruka koristeći temu Federal Credit Union, uočili smo zanimljiv obrazac. Ove e-poruke potječu s adresa e-pošte izvršnih direktora dotičnih organizacija Savezne kreditne unije.
Dopustite nam da također spomenemo da su neke od domena koje su registrirali napadači bile skvotirane verzije legalnih saveznih kreditnih unija u SAD-u.
Danas je granica između internetske sigurnosti i ugrožavanja cijele operacije tako fina da bi vam trebao atomski mikroskop da to vidite.
Zato uvijek propovijedamo sigurnost, što znači:
- Nikada ništa ne preuzimajte iz nasumičnih, nesigurnih izvora.
- Nikada nikome ne otkrivajte svoje vjerodajnice ili druge osjetljive informacije.
- Ne dopustite osobama kojima ne vjerujete da koriste vaše računalo.
- Ne otvarajte poveznice primljene u e-porukama koje potječu iz nepouzdanih izvora.
- Uvijek antivirusni softver.
Sve ovisi o vama da ostanete sigurni u ovoj stalno promjenjivoj online džungli, stoga svakako poduzmite sve potrebne sigurnosne mjere kako biste izbjegli katastrofu.
Jeste li u posljednje vrijeme primili takve e-poruke? Podijelite svoje iskustvo s nama u odjeljku za komentare u nastavku.
