- Siguranța online este doar relativă, o iluzie în ochii multor experți în securitate.
- Firma de securitate cibernetică Zscaler a scos copertele unei noi campanii de phishing AiTM.
- Țintele sunt utilizatorii Microsoft Mail și suntem pe cale să vă arătăm cum funcționează.
Citiți cu atenție ceea ce vom scrie în acest articol, deoarece nimeni nu este ferit de atacatori și de metodele pe care le folosesc în prezent.
Pentru a fi mai specific, utilizatorii serviciului de e-mail Microsoft trebuie să fie cu adevărat atenți, deoarece Zscaler, o companie de cercetare în domeniul securității cibernetice, tocmai a descoperit o nouă campanie de phishing în desfășurare care vizează utilizatorii de e-mail Microsoft.
Nu pentru a vă speria, dar, potrivit companiei, utilizatorii corporativi sunt atacați, iar campania se desfășoară folosind tehnica adversar-in-the-middle (AiTM) pentru a ocoli autentificarea cu mai mulți factori.
Campania de phishing folosește metoda AiTM pentru a vă fura acreditările
Chiar și gigantul tehnologic de la Redmond a recunoscut această problemă în iulie, când a creat un
postare pe blog menit să avertizeze utilizatorii despre pericolul iminent.
Pentru a vă aduce la curent, această tehnică AiTM plasează un adversar la mijloc pentru a intercepta procesul de autentificare dintre client și server.
Inutil să spunem că, în timpul acestui schimb, toate acreditările dumneavoastră sunt la fel de bune ca dispărute, deoarece terțe părți rău intenționate le vor avea drept rezultat.
Și, așa cum v-ați fi așteptat, asta înseamnă și că informațiile MAE sunt furate. Prin urmare, adversarul din mijloc acționează ca serverul față de clientul real și clientul față de serverul real.
| Nume de domeniu înregistrat de atacator | Nume de domeniu legitim Federal Credit Union |
| crossvalleyfcv[.]org | crossvalleyfcu[.]org |
| triboro-fcv[.]org | triboro-fcu[.]org |
| cityfederalcv[.]com | cityfederalcu[.]com |
| portconnfcuu[.]com | portconnfcu[.]com |
| oufcv[.]com | oufcu[.]com |
După cum au explicat experții în securitate, această campanie este concepută special pentru a ajunge la utilizatorii finali din întreprinderile care utilizează serviciile de e-mail Microsoft.
Amintiți-vă că Business email compromise (BEC) continuă să fie o amenințare permanentă pentru organizații, iar această campanie subliniază și mai mult necesitatea de a proteja împotriva unor astfel de atacuri.
Acestea sunt câteva dintre punctele cheie pe care experții în securitate cibernetică le-au rezumat, ca urmare a analizei amenințării în cauză:
- Utilizatorii corporativi ai serviciilor de e-mail Microsoft sunt principalele ținte ale acestei campanii de phishing pe scară largă.
- Toate aceste atacuri de tip phishing încep cu un e-mail trimis victimei cu un link rău intenționat.
- Campania este activă în momentul publicării blogului și noi domenii de phishing sunt înregistrate aproape în fiecare zi de către actorul amenințării.
- În unele cazuri, e-mailurile de afaceri ale directorilor au fost compromise folosind acest atac de phishing și ulterior folosite pentru a trimite e-mailuri de phishing suplimentare, ca parte a aceleiași campanii.
- Unele dintre verticalele cheie ale industriei, cum ar fi FinTech, Lending, Insurance, Energy and Manufacturing din regiuni geografice precum SUA, Marea Britanie, Noua Zeelandă și Australia sunt vizate.
- În aceste atacuri este utilizat un kit personalizat de phishing, bazat pe proxy, capabil să ocolească autentificarea cu mai mulți factori (MFA).
- Diverse tehnici de descuamare și de amprentare a browserului sunt utilizate de actorul amenințării pentru a ocoli sistemele automate de analiză a URL-urilor.
- Numeroase metode de redirecționare URL sunt utilizate pentru a evita soluțiile de analiză a adreselor URL ale e-mailurilor corporative.
- Serviciile online legitime de editare a codului, cum ar fi CodeSandbox și Glitch, sunt abuzate pentru a crește durata de valabilitate a campaniei.
După analiza noastră a e-mailurilor originale folosind tema Federal Credit Union, am observat un model interesant. Aceste e-mailuri provin de la adresele de e-mail ale directorilor executivi ai respectivelor organizații Federal Credit Union.
Permiteți-ne să menționăm, de asemenea, că unele dintre domeniile înregistrate de atacatori au fost versiuni greșite ale caselor de credit federale legitime din SUA.
În zilele noastre, linia dintre siguranța online și compromiterea întregii operațiuni este atât de bună, încât ai avea nevoie de un microscop atomic pentru a o vedea.
De aceea predicăm întotdeauna siguranța, ceea ce înseamnă:
- Nu descărcați niciodată nimic din surse aleatorii, nesigure.
- Nu dezvăluiți niciodată nimănui acreditările sau alte informații sensibile.
- Nu lăsați oamenii în care nu aveți încredere să vă folosească computerul.
- Nu deschideți linkuri primite în e-mailuri care provin din surse nesigure.
- Întotdeauna software antivirus.
Totul depinde de tine să fii în siguranță în această junglă online în continuă schimbare, așa că asigură-te că iei toate măsurile de siguranță de care ai nevoie, pentru a evita dezastrul.
Ați primit astfel de e-mailuri în ultima vreme? Împărtășiți-vă experiența cu noi în secțiunea de comentarii de mai jos.
