Οι χάκερ προσπαθούν να κλέψουν δεδομένα σύνδεσης λογαριασμού Microsoft χρησιμοποιώντας μια έξυπνη απάτη στο Google Drive

Phishing Attack Uses Google Drive

Ορισμένα διαπιστευτήρια σύνδεσης είναι πιο πολύτιμα από άλλα, και δεν προκαλεί έκπληξη το γεγονός ότι οι επιθέσεις ηλεκτρονικού ψαρέματος (phishing) που στοχεύουν στους σημαντικούς λογαριασμούς τείνουν να είναι πολύ πιο εξελιγμένες και μελετημένες. Τον Ιανουάριο, ερευνητές από το Check Point σκόνταψαν μια εκστρατεία ηλεκτρονικού ψαρέματος (phishing), την οποία έγραψαν μόνο την Τρίτη και μας έδειξαν πόσο δύσκολο είναι να εντοπίσουμε τις καλά σχεδιασμένες επιθέσεις.

Οι απατεώνες προσπάθησαν να κλέψουν τα διαπιστευτήρια του Office 365 των χρηστών με μια έξυπνη επίθεση ηλεκτρονικού ψαρέματος

Τα μηνύματα ηλεκτρονικού ταχυδρομείου εστάλησαν σε υπαλλήλους οργανώσεων που χρησιμοποιούν το Office 365. Πρώτον, το μήνυμα θα ανακατευθύνει το θύμα σε ένα αρχείο PDF που φιλοξενείται σε σύννεφο και περιέχει έναν σύνδεσμο, που υποτίθεται ότι οδηγεί σε ένα κοινόχρηστο έγγραφο που ενδιαφέρει ο υπάλληλος. Ο σύνδεσμος ανακατευθύνθηκε σε αυτό μοιάζει με μια σελίδα σύνδεσης του SharePoint που ζήτησε από τον χρήστη να συνδεθεί. Θα μπορούσαν να το κάνουν είτε με τα διαπιστευτήρια του Office 365 είτε με το αναγνωριστικό του οργανισμού τους. Όποια και αν είναι η επιλογή, θα εμφανιζόταν ένα αναδυόμενο παράθυρο με μια πειστική φόρμα σύνδεσης Microsoft και κάθε πληροφορία που εισήγαγε θα αποσταλεί απευθείας στους απατεώνες.

Αν περάσετε από τα στιγμιότυπα οθόνης του Check Point, θα δείτε ότι τα γραμματικά και ορθογραφικά λάθη που συσχετίζουμε συχνά με επιθέσεις ηλεκτρονικού ψαρέματος δεν είναι πουθενά. Η μορφοποίηση είναι σχεδόν ίδια με την αρχική και σε όλη τη λειτουργία, οι χρήστες μπορεί εύκολα να ξεγελαστούν ότι πρόκειται να συνδεθούν στους λογαριασμούς τους στη Microsoft. Επιπλέον, μόλις εισαχθούν τα διαπιστευτήρια σύνδεσης, ανακατευθύνονται σε μια πραγματική αναφορά από μια παγκόσμια εταιρεία συμβούλων, η οποία θα μπορούσε να κάνει τα πάντα ακόμα πιο πιστά. Αυτό δεν είναι το μόνο πράγμα που κάνει αυτή την επίθεση να ξεχωρίζει από τα υπόλοιπα.

Οι phishers χρησιμοποίησαν εκτενώς τις υπηρεσίες cloud της Google

Το πρώτο PDF που είδαν τα θύματα φιλοξενήθηκε στο Google Drive. Η σελίδα πλαστοπροσωπίας του SharePoint με την οποία είχε συνδεθεί είχε μεταφορτωθεί επίσης στις υπηρεσίες φιλοξενίας cloud της Google, όπως και η ίδια η κακόβουλη φόρμα σύνδεσης.

Προφανώς, το να βλέπεις μια σελίδα σύνδεσης της Microsoft που φιλοξενείται σε υποδομή που ανήκει στην Google δεν είναι φυσιολογική, αλλά οι απατεώνες γνώριζαν ότι λίγοι χρήστες τείνουν να δίνουν ιδιαίτερη προσοχή στη γραμμή διευθύνσεων όταν εισάγουν τα διαπιστευτήρια σύνδεσης. Ήξεραν επίσης ότι αυτοί που κάνουν είναι λιγότερο πιθανό να γίνουν ύποπτοι αν δουν έναν τομέα που αναγνωρίζουν.

Χρησιμοποιώντας τις υπηρεσίες της Google, οι phishers καταφέρνουν επίσης να αποφύγουν τον προσεκτικό έλεγχο τόσο από αυτοματοποιημένα εργαλεία όσο και από διαχειριστές συστήματος που παρακολουθούν τις δραστηριότητες των υπαλλήλων. Συνολικά, η χρήση του cloud της Google έκανε την επίθεση πολύ πιο πιθανό να πετύχει.

Η επίθεση οργανώθηκε από μια ομάδα έμπειρων ψαράδων

Το επίπεδο πολυπλοκότητας που επιδεικνύουν οι ψαράδες δεν πρέπει να είναι τόσο εκπληκτικό, λαμβάνοντας υπόψη την εμπειρία που έχουν. Λίγο μετά την ανακάλυψη της επίθεσης, οι ερευνητές ενημέρωσαν την Google και καταργήθηκαν οι κακόβουλες σελίδες. Προτού πάνε εκτός σύνδεσης, ωστόσο, οι ειδικοί του Check Point μπήκαν στον πηγαίο κώδικα και παρατήρησαν ότι παρόλο που οι σελίδες φιλοξενήθηκαν στο σύννεφο της Google, η πλειονότητα των πόρων φορτώθηκε από το prvtsmtp [.] Com, έναν εξωτερικό τομέα.

Ο τομέας οδηγούσε σε έναν ουκρανικό διακομιστή που έχει χρησιμοποιηθεί σε αρκετές καμπάνιες ηλεκτρονικού ψαρέματος. Πρώτον, φιλοξένησε τις ίδιες τις κακόβουλες σελίδες και αργότερα ήταν μέρος της υποδομής κατά τη διάρκεια επιθέσεων που χρησιμοποίησαν τις υπηρεσίες cloud της Microsoft Azure.

Οι ερευνητές του Check Point βοήθησαν στον τερματισμό της επίθεσης που ανακάλυψαν τον Ιανουάριο, αλλά είναι απίθανο να σταματήσουν την έμπειρη ομάδα ψαράδων που την υποστηρίζουν. Μόνο ο χρόνος θα δείξει ποια θα είναι η επόμενη κίνηση των εγκληματιών στον κυβερνοχώρο. Εν τω μεταξύ, οι εργαζόμενοι σε όλο τον κόσμο πρέπει να είναι ιδιαίτερα προσεκτικοί πού και πότε εισέρχονται τα διαπιστευτήριά τους.

July 22, 2020
Φόρτωση...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.