- Az online biztonság csak relatív, sok biztonsági szakértő szemében ez illúzió.
- A kiberbiztonsági cég, a Zscaler lerántotta a leplet az AiTM új adathalász kampányáról.
- A célpontok a Microsoft Mail felhasználói, és hamarosan bemutatjuk, hogyan működik.
Nagyon figyelmesen olvassa el, mit fogunk írni ebben a cikkben, mivel senki sincs biztonságban a támadóktól és az általuk jelenleg használt módszerektől.
Pontosabban szólva, a Microsoft e-mail szolgáltatás felhasználóinak nagyon oda kell figyelniük, mert Zscaler, egy kiberbiztonsági kutatócég nemrég fedezett fel egy új, folyamatban lévő adathalász kampányt, amely a Microsoft e-mail felhasználóit célozza meg.
Nem azért, hogy megijesszük, de a cég szerint a vállalati felhasználókat támadások érik, és a kampányt AiTM technikával futtatják a többtényezős hitelesítés megkerülésére.
Az adathalász kampány az AiTM módszert használja a hitelesítő adatok ellopására
Még a redmondi technológiai óriás is elismerte ezt a problémát még júliusban, amikor létrehozta a blog bejegyzés célja, hogy figyelmeztesse a felhasználókat a közelgő veszélyre.
A gyorsítás érdekében ez az AiTM technika középre helyez egy ellenfelet, hogy elkapja a kliens és a szerver közötti hitelesítési folyamatot.
Mondanunk sem kell, hogy a csere során minden hitelesítő adata teljesen eltűnt, mivel ennek eredményeként a rosszindulatú harmadik felek megkapják azokat.
És ahogy azt várta, ez azt is jelenti, hogy az MFA-információkat ellopták. Ezért a középső ellenfél úgy viselkedik, mint a szerver a valódi klienssel, és a kliens a valódi szerverrel.
| Támadó által regisztrált domain név | Legális Federal Credit Union domain név |
| crossvalleyfcv[.]org | crossvalleyfcu[.]org |
| triboro-fcv[.]org | triboro-fcu[.]org |
| cityfederalcv[.]com | cityfederalcu[.]com |
| portconnfcuu[.]com | portconnfcu[.]com |
| oufcv[.]com | oufcu[.]com |
Amint a biztonsági szakértők kifejtették, ez a kampány kifejezetten a Microsoft e-mail szolgáltatásait használó vállalatok végfelhasználóinak elérésére szolgál.
Ne feledje, hogy az üzleti e-mail kompromisszum (BEC) továbbra is állandó fenyegetést jelent a szervezetek számára, és ez a kampány még jobban rávilágít az ilyen támadások elleni védekezés szükségességére.
Íme néhány kulcsfontosságú pont, amelyet a kiberbiztonsági szakértők összefoglaltak a fennálló fenyegetés elemzése során:
- A Microsoft e-mail szolgáltatásainak vállalati felhasználói a fő célpontjai ennek a nagyszabású adathalász kampánynak.
- Mindezek az adathalász támadások egy rosszindulatú linket tartalmazó e-maillel kezdődnek.
- A kampány a blog közzétételekor aktív, és szinte minden nap regisztrál új adathalász domaineket a fenyegetés szereplője.
- Egyes esetekben a vezetők üzleti e-mailjeit feltörték ezzel az adathalász támadással, és később további adathalász e-mailek küldésére használták fel ugyanazon kampány részeként.
- Néhány olyan kulcsfontosságú iparágat céloznak meg, mint a FinTech, a hitelezés, a biztosítás, az energia és a gyártás olyan földrajzi régiókban, mint az Egyesült Államok, az Egyesült Királyság, Új-Zéland és Ausztrália.
- Ezekben a támadásokban egy egyéni proxyalapú adathalász készletet használnak, amely képes megkerülni a többtényezős hitelesítést (MFA).
- A fenyegetés szereplői különféle álcázási és böngésző ujjlenyomat-vételi technikákat alkalmaznak az automatizált URL-elemző rendszerek megkerülésére.
- Számos URL-átirányítási módszert alkalmaznak a vállalati e-mail URL-elemzési megoldások elkerülésére.
- A törvényes online kódszerkesztő szolgáltatásokat, például a CodeSandboxot és a Glitch-et visszaélik a kampány eltarthatóságának növelése érdekében.
Az eredeti e-mailek Federal Credit Union témát használó elemzése alapján érdekes mintát figyeltünk meg. Ezek az e-mailek a megfelelő Federal Credit Union szervezetek vezérigazgatóinak e-mail-címeiről származnak.
Engedjék meg, hogy megemlítsük azt is, hogy a támadók által regisztrált domainek némelyike a legális szövetségi hitelszövetkezetek elgépelt változata volt az Egyesült Államokban.
Manapság olyan finom a határvonal az online biztonság és a teljes működés veszélyeztetése között, hogy atommikroszkópra van szükséged ahhoz, hogy lásd.
Ezért mindig a biztonságot hirdetjük, ami azt jelenti:
- Soha ne töltsön le semmit véletlenszerű, nem biztonságos forrásból.
- Soha ne fedje fel hitelesítő adatait vagy más érzékeny adatait senkinek.
- Ne engedje, hogy olyanok használják a számítógépét, akikben nem bízik.
- Ne nyisson meg olyan e-mailekben kapott linkeket, amelyek nem megbízható forrásból származnak.
- Mindig vírusirtó szoftver.
Csak rajtad múlik, hogy biztonságban maradj-e ebben az állandóan változó online dzsungelben, ezért mindenképpen tegyél meg minden szükséges biztonsági intézkedést a katasztrófa elkerülése érdekében.
Kapott mostanában ilyen e-maileket? Ossza meg velünk tapasztalatait az alábbi megjegyzések részben.
