- Онлайн-безпека є лише відносною, ілюзією в очах багатьох експертів з безпеки.
- Фірма з кібербезпеки Zscaler прикрила нову фішингову кампанію AiTM.
- Цілі — користувачі Microsoft Mail, і ми збираємося показати вам, як це працює.
Уважно прочитайте те, що ми збираємося написати в цій статті, оскільки ніхто не застрахований від зловмисників і методів, які вони зараз використовують.
Точніше кажучи, користувачам служби електронної пошти Microsoft потрібно бути уважними, тому що Zscaler, дослідницька компанія з кібербезпеки, щойно виявила нову триваючу фішингову кампанію, спрямовану на користувачів електронної пошти Microsoft.
Щоб вас не лякати, але, за словами фірми, корпоративні користувачі зазнають атаки, а кампанія проводиться з використанням техніки противника посередині (AiTM), щоб обійти багатофакторну автентифікацію.
Фішингова кампанія використовує метод AiTM для викрадення ваших облікових даних
Навіть технічний гігант Редмонда визнав цю проблему ще в липні, коли створив a публікація в блозі призначений для попередження користувачів про небезпеку, що насувається.
Щоб надати вам швидкість, цей метод AiTM розміщує противника посередині, щоб перехопити процес автентифікації між клієнтом і сервером.
Зайве говорити, що під час цього обміну всі ваші облікові дані зникнуть, оскільки в результаті вони отримають зловмисних третіх сторін.
І, як і слід було очікувати, це також означає, що інформацію МЗС викрадено. Таким чином, супротивник посередині діє як сервер для реального клієнта і клієнт для реального сервера.
| Доменне ім'я, зареєстроване зловмисником | Законне доменне ім’я Federal Credit Union |
| crossvalleyfcv[.]org | crossvalleyfcu[.]org |
| triboro-fcv[.]org | triboro-fcu[.]org |
| cityfederalcv[.]com | cityfederalcu[.]com |
| portconnfcuu[.]com | portconnfcu[.]com |
| oufcv[.]com | oufcu[.]com |
Як пояснили експерти з безпеки, ця кампанія спеціально розроблена для охоплення кінцевих користувачів на підприємствах, які використовують служби електронної пошти Microsoft.
Пам’ятайте, що компрометація бізнес-електронної пошти (BEC) продовжує залишатися постійною загрозою для організацій, і ця кампанія додатково підкреслює необхідність захисту від таких атак.
Ось деякі з ключових моментів, які експерти з кібербезпеки узагальнили в результаті аналізу наявної загрози:
- Корпоративні користувачі поштових служб Microsoft є головними цілями цієї масштабної фішингової кампанії.
- Усі ці фішингові атаки починаються з електронного листа, надісланого жертві зі шкідливим посиланням.
- Кампанія активна на момент публікації блогу, і нові фішингові домени реєструються зловмисниками майже щодня.
- У деяких випадках ділові електронні листи керівників були скомпрометовані за допомогою цієї фішингової атаки, а потім використовувалися для надсилання нових фішингових листів у рамках тієї ж кампанії.
- Цільовими є деякі з ключових галузевих вертикалей, таких як FinTech, кредитування, страхування, енергетика та виробництво в таких географічних регіонах, як США, Великобританія, Нова Зеландія та Австралія.
- У цих атаках використовується набір для фішингу на основі проксі-сервера, здатний обходити багатофакторну автентифікацію (MFA).
- Зловмисник використовує різні методи маскування та відбитків пальців браузера, щоб обійти автоматизовані системи аналізу URL-адрес.
- Численні методи переспрямування URL-адрес використовуються, щоб уникнути корпоративних рішень для аналізу URL-адрес електронної пошти.
- Законні служби онлайн-редагування коду, такі як CodeSandbox і Glitch, зловживають, щоб збільшити термін зберігання кампанії.
Проаналізувавши оригінальні електронні листи з використанням теми Федеральної кредитної спілки, ми помітили цікаву закономірність. Ці листи надійшли з адрес електронної пошти керівників відповідних організацій Федеральної кредитної спілки.
Дозвольте нам також згадати, що деякі домени, зареєстровані зловмисниками, були друкарськими версіями законних Федеральних кредитних спілок у США.
Сьогодні межа між онлайн-безпекою та компрометацією всієї вашої роботи настільки тонка, що вам знадобиться атомний мікроскоп, щоб побачити це.
Тому ми завжди проповідуємо безпеку, а це означає:
- Ніколи нічого не завантажуйте з випадкових, небезпечних джерел.
- Ніколи нікому не повідомляйте свої облікові дані чи іншу конфіденційну інформацію.
- Не дозволяйте людям, яким ви не довіряєте, користуватися вашим комп’ютером.
- Не відкривайте посилання, отримані в електронних листах із ненадійних джерел.
- Завжди антивірусне програмне забезпечення.
Від вас залежить, як залишатися в безпеці в цих мінливих онлайн-джунглях, тож обов’язково вживайте всіх необхідних заходів безпеки, щоб уникнути катастрофи.
Чи отримували ви такі електронні листи останнім часом? Поділіться з нами своїм досвідом у розділі коментарів нижче.
