Οι εμπειρογνώμονες στον τομέα της ασφάλειας στον κυβερνοχώρο αντιμετώπισαν ένα "Phishing Game" Changing "

Μια πρόσφατη επίθεση στον κυβερνοχώρο ονομάστηκε "αλλαγή παιχνιδιού" - διατύπωση που προφανώς δεν βλέπετε κάθε μέρα. Τι κάνει όμως αυτή τη συγκεκριμένη επίθεση ηλεκτρονικού ψαρέματος τόσο εντυπωσιακή;

Η επίθεση αναλύθηκε λεπτομερώς και αναλύθηκε από τον ερευνητή ασφαλείας Craig Hays σε ένα άρθρο Medium. Όλα ξεκίνησαν με τις συνήθεις ειδοποιήσεις επίθεσης ηλεκτρονικού ψαρέματος που λαμβάνουν οι εταιρείες ασφαλείας από πελάτες. Ωστόσο, καθώς η αρχική έρευνα ήταν σε εξέλιξη, λίγα λεπτά μετά την πρώτη αναφορά, περισσότεροι κόκκινοι λαμπτήρες άρχισαν να αναβοσβήνουν καθώς ένας αυξανόμενος αριθμός λογαριασμών email από τον ίδιο οργανισμό εμφανίστηκε ότι έχει παραβιαστεί.

Οι παραβιασμένοι λογαριασμοί email στέλνουν ασυνήθιστα μεγάλα ποσά εξερχόμενης αλληλογραφίας, τα οποία αύξησαν τους μηχανισμούς προειδοποίησης. Είχε πρόσβαση σε ασυνήθιστες τοποθεσίες σε όλο τον κόσμο και αντλούσαν πολλά περισσότερα email από το συνηθισμένο. Το ζήτημα στο οποίο αντιμετώπισε η ομάδα ασφαλείας ήταν ότι δεν υπήρχε σαφής ένδειξη του αρχικού φορέα επίθεσης - δεν υπήρχε κανένα από τα συνήθη προειδοποιητικά σημάδια που να σηματοδοτούν μια επιτυχημένη απόπειρα ηλεκτρονικού ψαρέματος - κανένα εισερχόμενο μήνυμα από άγνωστες διευθύνσεις, τίποτα.

Ο Κίνδυνος Εξοικείωσης

Αποδείχθηκε ότι τα μηνύματα ηλεκτρονικού "ψαρέματος" δεν προέρχονταν από ύποπτες ή άγνωστες διευθύνσεις. Στέλνονταν ως μηνύματα απάντησης σε γνήσια, νόμιμα email. Το απλό γεγονός ότι οι κακόβουλοι σύνδεσμοι ηλεκτρονικού ψαρέματος κρύβονταν σε αλληλογραφία που ελήφθησαν από ό, τι έμοιαζαν με γνωστές πηγές.

Ο μηχανισμός πίσω από την επίθεση περιελάμβανε ένα εξελιγμένο bot. Μόλις ένα email στο δίκτυο επίθεσης είχε κλαπεί τα διαπιστευτήριά του, το bot έλαβε τις πληροφορίες σύνδεσης, συνδέθηκε στον παραβιασμένο λογαριασμό και άρχισε να κοσκινίζει τα εισερχόμενα μηνύματα που έφτασαν τις τελευταίες ημέρες. Κάθε μοναδική αλυσίδα email που ανακαλύφθηκε με αυτόν τον τρόπο έλαβε μια απάντηση από το bot με ένα μήνυμα που κράτησε τους συνδέσμους προς την πύλη ηλεκτρονικού "ψαρέματος" που δημιουργήθηκαν από τους εγκληματίες. Συγκεκριμένα, οι απατεώνες είχαν βρει αρκετά γενική διατύπωση ότι το κλικ στο συνημμένο ψεύτικο έγγραφο δεν φαινόταν ποτέ πολύ περίεργο ή εκτός τόπου.

Αυτό σημαίνει ότι το μήνυμα ηλεκτρονικού ψαρέματος που στάλθηκε από το bot διατηρούσε τη διεύθυνση, την αρχική γραμμή θέματος της αλυσίδας συνομιλίας καθώς και όλες τις προηγούμενες επικοινωνίες, καθιστώντας την απίστευτα πιστευτή και αξιόπιστη στην επιφάνεια, πολύ περισσότερο από οποιαδήποτε απόπειρα ηλεκτρονικού ψαρέματος που αποστέλλεται από άγνωστη διεύθυνση που ενεργοποιεί αμέσως προειδοποιητικά φώτα ακόμη και για άπειρους χρήστες.

Ένα κακόβουλο λογισμικό που μοιάζει με σκουλήκι

Το γεγονός ότι το bot ενήργησε σαν σκουλήκι, διαδόθηκε σε δίκτυα email της εταιρείας σαρώνοντας τα εισερχόμενα και στέλνοντας το πιστό δόλωμα του ηλεκτρονικού ψαρέματος. Αυτός ο τρόπος διάδοσης έκανε την απειλή ιδιαίτερα δύσκολο να αντιμετωπιστεί. Τέλος, ανακαλύφθηκε ένα μοτίβο στις κακόβουλες διευθύνσεις URL και προσθέτοντας αυτό σε ένα αυτόματο φίλτρο που επιτρέπεται να περιορίσει και να σταματήσει την εξάπλωση του bot ηλεκτρονικού ψαρέματος τύπου worm.

Ένα άλλο σημαντικό γεγονός που επισημαίνει η έκθεση είναι ότι το bot ήταν λίγο πολύ πρόθυμο για το καλό του. Εάν δεν υπήρχαν τόσο ασυνήθιστα μεγάλοι όγκοι εξερχόμενων μηνυμάτων για να ξεπεράσουν τους συναγερμούς, το bot θα μπορούσε να είχε απαρατήρητο για πολύ περισσότερο και να προκάλεσε πολύ μεγαλύτερη ζημιά.

Η τελευταία σημαντική απομάκρυνση από αυτό το περιστατικό ήταν ότι ο έλεγχος ταυτότητας πολλαπλών παραγόντων θα πρέπει να χρησιμοποιείται όποτε είναι διαθέσιμος και επίσης να διατίθεται το συντομότερο δυνατό όπου δεν είναι ήδη επιλογή.