- Онлайн-безопасность лишь относительная, иллюзия в глазах многих экспертов по безопасности.
- Фирма по кибербезопасности Zscaler раскрыла новую фишинговую кампанию AiTM.
- Целями являются пользователи Microsoft Mail, и мы собираемся показать вам, как это работает.
Внимательно прочитайте то, что мы собираемся написать в этой статье, так как никто не застрахован от злоумышленников и методов, которые они сейчас используют.
Чтобы быть более конкретным, пользователи службы электронной почты Microsoft должны действительно быть начеку, потому что Зскалер, компания, занимающаяся исследованиями в области кибербезопасности, только что обнаружила новую продолжающуюся фишинговую кампанию, нацеленную на пользователей электронной почты Microsoft.
Не хочу вас пугать, но, по словам компании, корпоративные пользователи подвергаются атаке, и кампания проводится с использованием метода «противник посередине» (AiTM) для обхода многофакторной аутентификации.
Фишинговая кампания использует метод AiTM для кражи ваших учетных данных
Даже технологический гигант из Редмонда признал эту проблему еще в июле, когда создал Сообщение блога предназначен для предупреждения пользователей о надвигающейся опасности.
Чтобы ввести вас в курс дела, этот метод AiTM помещает злоумышленника посередине, чтобы перехватить процесс аутентификации между клиентом и сервером.
Излишне говорить, что во время этого обмена все ваши учетные данные практически исчезли, поскольку в результате они будут у злоумышленников.
И, как и следовало ожидать, это также означает, что информация MFA украдена. Следовательно, противник в середине действует как сервер по отношению к реальному клиенту и клиент по отношению к реальному серверу.
| Зарегистрированное злоумышленником доменное имя | Законное доменное имя Федерального кредитного союза |
| crossvalleyfcv[.]org | crossvalleyfcu[.]org |
| триборо-fcv[.]org | triboro-fcu[.]org |
| cityfederalcv[.]com | cityfederalcu[.]com |
| портконнфкуу[.]com | портконнфку[.]com |
| oufcv[.]com | oufcu[.]com |
Как пояснили эксперты по безопасности, эта кампания специально разработана для охвата конечных пользователей на предприятиях, использующих службы электронной почты Microsoft.
Помните, что компрометация корпоративной электронной почты (BEC) по-прежнему представляет собой постоянную угрозу для организаций, и эта кампания еще раз подчеркивает необходимость защиты от таких атак.
Вот некоторые из ключевых моментов, которые эксперты по кибербезопасности обобщили в результате анализа имеющейся угрозы:
- Корпоративные пользователи почтовых сервисов Microsoft являются основными целями этой крупномасштабной фишинговой кампании.
- Все эти фишинговые атаки начинаются с отправки жертве электронного письма с вредоносной ссылкой.
- Кампания активна на момент публикации в блоге, и злоумышленники почти каждый день регистрируют новые фишинговые домены.
- В некоторых случаях деловая электронная почта руководителей была скомпрометирована с помощью этой фишинговой атаки, а затем использовалась для отправки дополнительных фишинговых писем в рамках той же кампании.
- Целями являются некоторые из ключевых отраслевых вертикалей, такие как финансовые технологии, кредитование, страхование, энергетика и производство в таких географических регионах, как США, Великобритания, Новая Зеландия и Австралия.
- В этих атаках используется специальный фишинговый набор на основе прокси, способный обходить многофакторную аутентификацию (MFA).
- Злоумышленник использует различные методы маскировки и снятия отпечатков пальцев браузера для обхода автоматизированных систем анализа URL-адресов.
- Многочисленные методы перенаправления URL-адресов используются для обхода корпоративных решений для анализа URL-адресов электронной почты.
- Легальные онлайн-сервисы редактирования кода, такие как CodeSandbox и Glitch, используются для увеличения срока годности кампании.
Проанализировав исходные электронные письма с использованием темы Федерального кредитного союза, мы обнаружили интересную закономерность. Эти электронные письма были отправлены с адресов электронной почты руководителей соответствующих организаций Федерального кредитного союза.
Позвольте нам также упомянуть, что некоторые из доменов, зарегистрированных злоумышленниками, были опечатанными версиями законных Федеральных кредитных союзов в США.
В настоящее время грань между онлайн-безопасностью и компрометацией всей вашей операции настолько тонка, что вам понадобится атомный микроскоп, чтобы увидеть ее.
Вот почему мы всегда проповедуем безопасность, а это означает:
- Никогда ничего не загружайте из случайных, небезопасных источников.
- Никогда и никому не сообщайте свои учетные данные или другую конфиденциальную информацию.
- Не позволяйте людям, которым вы не доверяете, использовать ваш компьютер.
- Не открывайте ссылки, полученные в электронных письмах из ненадежных источников.
- Всегда антивирус.
Только от вас зависит оставаться в безопасности в этих постоянно меняющихся онлайн-джунглях, поэтому обязательно примите все необходимые меры безопасности, чтобы избежать катастрофы.
Получали ли вы такие письма в последнее время? Поделитесь с нами своим опытом в разделе комментариев ниже.
