Piratai bando pavogti „Microsoft“ paskyros prisijungimo duomenis naudodami protingą „Google“ disko sukčiavimą
Kai kurie prisijungimo duomenys yra vertingesni nei kiti, ir nenuostabu, kad sukčiavimo apsimetant išpuoliai, nukreipti į svarbias paskyras, yra daug sudėtingesni ir gerai apgalvoti. Sausio mėnesį „Check Point“ tyrėjai suklupo sukčiavimo kampaniją, apie kurią jie rašė tik antradienį, ir jie mums parodė, kaip sunku nustatyti gerai suplanuotas atakas.
Table of Contents
Sukčiai bandė pavogti vartotojų „Office 365“ kredencialus, atlikdami protingą sukčiavimo išpuolį
El. Laiškai buvo išsiųsti organizacijų, kurios naudojasi „Office 365“, darbuotojams. Pirmiausia pranešime nukentėjusysis bus nukreiptas į debesies priglobtą PDF failą, kuriame yra nuoroda, tariamai nukreipianti į bendrą dokumentą, kurį darbuotojas domina. Nuoroda nukreipta į tai, kas atrodo kaip „SharePoint“ prisijungimo puslapis, kuriame vartotojo buvo paprašyta prisijungti. Jie galėtų tai padaryti naudodamiesi savo „Office 365“ kredencialais arba savo organizacijos ID. Nesvarbu, kurį variantą jie pasirinko, pasirodys iššokantis langas su įtikinamai atrodančia „Microsoft“ prisijungimo forma, o bet kokia informacija, kurią jie įvedė, bus siunčiama tiesiai sukčiams.
Jei peržiūrėsite „Check Point“ ekrano kopijas, pamatysite, kad gramatinių ir rašybos klaidų, kurias dažnai siejame su sukčiavimo apsimetant kompiuteriais, niekur nematyti. Formatavimas beveik nesiskiria nuo originalo, o visos operacijos metu vartotojams gali lengvai suklysti, kad jie tikrai ketina prisijungti prie savo „Microsoft“ paskyrų. Dar daugiau: įvedę prisijungimo duomenis jie persiunčia į tikrą pasaulinės konsultavimo firmos ataskaitą, kuri gali padaryti viską dar patikimesnį. Tai nėra vienintelis dalykas, dėl kurio ši ataka išsiskiria iš kitų.
Sukčiautojai plačiai naudojo „Google“ debesies paslaugas
Pirmasis PDF, kurį matė aukos, buvo patalpintas „Google“ diske. Su „SharePoint“ apsimetinėjantis puslapis, į kurį jis susietas, taip pat buvo įkeltas į „Google“ debesies prieglobos paslaugas, taigi ir pati kenkėjiška prisijungimo forma.
Akivaizdu, kad matyti „Microsoft“ prisijungimo puslapį, esantį „Google“ priklausančioje infrastruktūroje, nėra įprasta, tačiau sukčiai žinojo, kad nedaugelis vartotojų įvesdami prisijungimo kredencialus linkę atidžiai stebėti adreso juostą. Jie taip pat žinojo, kad tie, kurie tai daro, yra mažiau linkę įtartis, jei mato domeną, kurį jie atpažįsta.
Naudodamiesi „Google“ paslaugomis sukčiautojams taip pat pavyksta išvengti atidaus patikrinimo tiek naudojant automatinius įrankius, tiek nuo sistemos administratorių, stebinčių darbuotojų veiklą. Apskritai, panaudojus „Google“ debesis, ataka tapo daug sėkmingesnė.
Ataką organizavo patyrusių apgavikų grupė
Žvalgybininkų įrodytas rafinuotumo lygis neturėtų būti toks stebinantis, atsižvelgiant į tai, kiek patirties jie turi. Netrukus atradę išpuolį, tyrėjai pranešė „Google“, o kenksmingi puslapiai buvo pašalinti. Tačiau prieš prisijungdami prie interneto, „Check Point“ ekspertai apžiūrėjo šaltinio kodą ir pastebėjo, kad nors puslapiai buvo talpinami „Google“ debesyje, didžioji dalis išteklių buvo įkelta iš prvtsmtp [.] Com, išorinio domeno.
Domenas nurodė Ukrainos serverį, kuris buvo naudojamas daugybėje sukčiavimo kampanijų. Pirma, jis priglobė pačius kenksmingus puslapius, o vėliau tai buvo infrastruktūros dalis per išpuolius, kuriuose buvo naudojamos „Microsoft Azure“ debesies paslaugos.
„Check Point“ tyrėjai padėjo nutraukti sausį aptiktą išpuolį, tačiau vargu ar jie sustabdys patyrusių apgavikų grupę, stovinčią už jos. Tik laikas parodys, koks bus kitas kibernetinių nusikaltėlių žingsnis. Tuo tarpu darbuotojai visame pasaulyje turi būti ypač atidūs, kur ir kada įveda prisijungimo duomenis.