A hackerek megkísérelnek ellopni a Microsoft-fiók bejelentkezési adatait okos Google Drive-átverés segítségével
Egyes bejelentkezési hitelesítő adatok sokkal értékesebbek, mint mások, és nem meglepő módon a fontos fiókok elleni adathalász támadások sokkal kifinomultabbok és átgondoltabbak. Januárban a Check Point kutatói becsaptak egy adathalászati kampányba, amelyről csak kedden írtak, és megmutatták nekünk, hogy milyen nehéz lehet a jól megtervezett támadások észlelése.
Table of Contents
A csalók okos adathalász támadással megpróbálták ellopni a felhasználók Office 365 hitelesítő adatait
Az e-maileket az Office 365-et használó szervezetek alkalmazottainak küldték. Először az üzenet az áldozatot egy felhőt tároló PDF-fájlba irányítja, amely tartalmaz egy linket, állítólag egy megosztott dokumentumhoz vezet, amely az alkalmazottat érdekli. úgy néz ki, mint egy SharePoint bejelentkezési oldal, amely felkérte a felhasználót, hogy jelentkezzen be. Ezt megtehetik akár Office 365 hitelesítő adataikkal, akár szervezeti azonosítójukkal. Bármelyik opciót választották, megjelenik egy meggyőző megjelenésű Microsoft bejelentkezési képernyővel felugró ablak, és az abban megadott információkat közvetlenül a csalóknak küldik el.
Ha áttekinti a Check Point képernyőképeit, látni fogja, hogy azok a nyelvtani és helyesírási hibák, amelyeket gyakran adathalász támadásokhoz társítunk, sehol nem láthatók. A formázás nagyjából pontosan ugyanaz, mint az eredeti, és a teljes művelet során a felhasználókat könnyen becsaphatják, hogy valóban be akarnak jelentkezni Microsoft-fiókjukba. Sőt, ha belépnek a bejelentkezési adataikba, átirányítják őket egy globális tanácsadó cég eredeti jelentésére, amely mindent még hihetőbbé tehet. Ez nem az egyetlen, ami e támadást kiemeli a többi részétől.
Az adathalászok széles körben használják a Google felhőszolgáltatásait
Az áldozatok által látott első PDF-fájlt a Google Drive-on tárolták. A SharePoint-val megszemélyesítő oldalt, amelyhez kapcsolódott, szintén feltöltötték a Google felhő-tárhelyszolgáltatásaiba, ugyanúgy, mint maga a rosszindulatú bejelentkezési forma.
Nyilvánvaló, hogy a Google tulajdonában lévő infrastruktúrán található Microsoft bejelentkezési oldal látása nem normális, ám a csalók tudták, hogy kevés felhasználó hajlamos különös figyelmet fordítani a címsorra, amikor bejelentkezési hitelesítő adatait adja meg. Azt is tudták, hogy azok, akik ezt teszik, kevésbé válnak gyanúsnak, ha olyan területet látnak, amelyet felismernek.
A Google szolgáltatásainak használatával az adathalászoknak sikerül elkerülniük az automatikus eszközök és az alkalmazottak tevékenységét figyelő rendszergazdák általi átvilágítást is. Összességében a Google felhő használata sokkal valószínűbb, hogy a támadás sikeres legyen.
A támadást egy tapasztalt adathalász csoport szervezett
Az adathalászok által bemutatott kifinomult szint nem lehet olyan meglepő, ha figyelembe vesszük, milyen tapasztalattal rendelkeznek. Nem sokkal a támadás felfedezése után a kutatók értesítették a Google-t, és a rosszindulatú oldalakat eltávolították. Mielőtt offline állapotba léptek, a Check Point szakértői azonban áttekintették a forráskódot, és észrevették, hogy bár az oldalakat a Google felhőjében tárolják, az erőforrások nagy részét a prvtsmtp [.] Com-ből, egy külső domainről töltötték le.
A domain egy ukrán szerverre mutatott, amelyet már sok adathalászati kampányban használtak. Először is maga a rosszindulatú oldalakat tárolta, és később az infrastruktúra része volt a támadások során a Microsoft Azure felhőszolgáltatásainak.
A Check Point kutatói segítettek véget vetni a januárjában felfedezett támadásnak, de valószínűtlen, hogy megállítják a mögötte álló tapasztalt adathalász csoportot. Csak az idő fogja megmondani, hogy mi lesz a számítógépes bűnözők következő lépése. Időközben az alkalmazottaknak különös figyelmet kell fordítaniuk arra, hogy hol és mikor írják be bejelentkezési adataikat.