Cybercrooks Απασχολούν τα Έντυπα Google για να εξαγάγουν τα διαπιστευτήρια σύνδεσης από τους απροσδόκητους χρήστες του Office 365

Αποκλείοντας μερικές εξαιρέσεις, η επίθεση σε έναν οργανισμό έχει τη δυνατότητα να είναι πολύ πιο επικερδής από την επίθεση σε έναν οικιακό χρήστη. Οι επιχειρήσεις έχουν πολύ περισσότερα να χάσουν. Επεξεργάζονται τα στοιχεία των εταιρειών και των πελατών, τα οποία δεν θέλουν να διακυβεύσουν και, ως επί το πλείστον, γνωρίζουν ότι η απόσπαση των συστημάτων τους θα μπορούσε να έχει σοβαρές συνέπειες. Υπό το πρίσμα αυτό, ίσως να πιστεύετε ότι επιτυχώς hacking μια επιχειρηματική οργάνωση απαιτεί πολύ πιο εξελιγμένη. Μια πρόσφατη εκστρατεία phishing την οποία έγραψε η Cofense δείχνει ωστόσο ότι αυτό δεν συμβαίνει πάντα.

Οι χρήστες του Office 365 στοχεύουν μια καμπάνια ηλεκτρονικού "ψαρέματος"

Οι ειδικοί της Cofense δήλωσαν ότι έχουν σημειώσει αξιοσημείωτη αύξηση του αριθμού ηλεκτρονικών μηνυμάτων ηλεκτρονικού "ψαρέματος" που απευθύνονται σε χρήστες του Office 365 που εργάζονται για επιχειρήσεις όλων των μορφών και μεγεθών. Η εκστρατεία που εξέτασαν πιο στενά ξεκίνησε με μια άλλη επίθεση.

Οι απατεώνες με κάποιο τρόπο κατάφεραν να θέσουν σε κίνδυνο έναν λογαριασμό ηλεκτρονικού ταχυδρομείου ενός ατόμου που εργάζεται για την CIM Finance, μια εταιρεία παροχής χρηματοοικονομικών υπηρεσιών. Μετά την αρχική επίθεση, οι εγκληματίες χρησιμοποίησαν τα συστήματα της CIM Finance για να στείλουν ένα μεγάλο αριθμό ηλεκτρονικών μηνυμάτων ηλεκτρονικού "ψαρέματος" και το γεγονός ότι τα μηνύματα έρχονταν από μια πραγματική εταιρεία τους βοήθησε να περάσουν από ελέγχους κατά της πλαστογραφίας όπως το DKIM και το SPF.

Τα ηλεκτρονικά μηνύματα προέρχονται από μια "εταιρική ομάδα πληροφορικής" που ειδοποιεί τον παραλήπτη σχετικά με τη λήξη του λογαριασμού του Office 365. Το μήνυμα δηλώνει ότι ο χρήστης πρέπει να ενημερώσει τον κωδικό πρόσβασής του αν δεν θέλει να δει το λογαριασμό του να ανασταλεί. Όπως ίσως έχετε μαντέψει ήδη, το κουμπί "Ενημέρωση τώρα" οδηγεί σε μια σελίδα που δεν είναι συνδεδεμένη με το Office 365 με οποιονδήποτε τρόπο.

Αντ 'αυτού, τα θύματα βλέπουν μια σελίδα σύνδεσης που δημιουργήθηκε με τα έντυπα Google που μεταμφιέζεται ως δική της Microsoft και ζητά από το χρήστη τα διαπιστευτήρια του. Οτιδήποτε εισέρχεται στα πεδία αποστέλλεται στους απατεώνες με τη βοήθεια μιας άλλης δωρεάν υπηρεσίας που προσφέρεται από τον αγαπημένο παγκόσμιο αντιπρόσωπο της μηχανής αναζήτησης - το Google Drive.

Μια αργή επίθεση που θα μπορούσε να είναι πολύ αποτελεσματική

Οι απατεώνες δεν έβαλαν πολύ μεγάλη προσπάθεια στην επίθεση. Το γεγονός ότι ξεκινούν από το συμβιβασμό ενός λογαριασμού σε μια νόμιμη εταιρεία μπορεί να σας ξεγελάσει να σκεφτείτε ότι ξέρουν τι κάνουν, αλλά συνολικά δεν έχουν δείξει το επίπεδο πολυπλοκότητας που θα περίμενε κανείς από μια ομάδα εγκληματιών προσπαθώντας να επιτεθεί στους χρήστες των επιχειρήσεων.

Χρησιμοποιώντας τα Έντυπα Google για τη συγκέντρωση της σελίδας ηλεκτρονικού "ψαρέματος", για παράδειγμα, οι απατεώνες κατά πάσα πιθανότητα κατάφεραν να εξοικονομήσουν μερικά δολάρια, αλλά αυτό δεν έκανε τίποτα να κάνει την απάτη να φαίνεται πιο νόμιμη. Πράγματι, μια σελίδα που προβάλλεται από μια υπηρεσία Google θα εμφανίσει ένα πράσινο εικονίδιο κλειδώματος στη γραμμή διευθύνσεων, το οποίο θα μπορούσε απλά να ξεγελάσει μερικούς ανθρώπους. Και πάλι, λιγότεροι τεμπέληδες phishers εγκαθιστούν πιστοποιητικά SSL στα προσεκτικά επεξεργασμένα phishing kits τους ούτως ή άλλως, οπότε αυτό δεν είναι μεγάλο πλεονέκτημα.

Το ψευδές έντυπο σύνδεσης περιγράφηκε από τους ερευνητές της Cofense ως "υποβαθμισμένο", το οποίο δεν αποτελεί πραγματικά έκπληξη λαμβάνοντας υπόψη τους περιορισμούς που έχει η Google Forms. Οι ειδικοί είπαν ότι η διάταξη δεν είναι πειστική και ότι ορισμένα σφάλματα μορφοποίησης και κεφαλαιοποίησης δίνουν την απάτη πολύ γρήγορα. Το γεγονός ότι όταν ένας χρήστης εισάγει τον κωδικό του στο πεδίο, βγαίνει καθώς το απλό κείμενο είναι βέβαιο ότι θα εκπέμψει αρκετά κουδούνια συναγερμού επίσης. Ή μήπως;

Χωρίς αμφιβολία, αυτό απέχει πολύ από την πιο εξελιγμένη επίθεση phishing, αλλά το απλό γεγονός ότι υπάρχει, δείχνει ότι οι απατεώνες στοιχηματίζουν στην επιτυχία της. Οποιαδήποτε εκστρατεία phishing βασίζεται στην αποτυχία των ανθρώπων να εντοπίσουν τα ενίοτε εμφανή σημάδια απάτης και οι terabytes σε terabytes κλεμμένων ονομάτων χρηστών και κωδικών πρόσβασης που διακινούνται καθημερινά στις υπόγειες αγορές δείχνουν ότι αυτό συμβαίνει συχνότερα από ό, τι θα έπρεπε. Δεν θα πρέπει να υποτιμάται καμία επίθεση, ανεξάρτητα από το πόσο κακή εκτέλεση θα φαινόταν.