Cybersecurity-eksperter har møtt en "Game-Changing" Phishing-ordning

En nylig cyberangrep ble kalt "spillendring" - ordlyden du tydeligvis ikke ser hver dag. Hva gjør det spesielle phishing-angrepet så imponerende?

Angrepet ble detaljert og analysert av sikkerhetsforsker Craig Hays i en Medium-artikkel. Det hele startet med de vanlige phishing-angrepsvarslene sikkerhetsselskaper mottar fra kunder. Imidlertid, ettersom den tidlige etterforskningen pågikk, minutter etter den første rapporten, begynte flere røde lamper å blinke ettersom et økende antall e-postkontoer fra samme organisasjon kom opp som kompromittert.

De hackede e-postkontoer sendte ut uvanlig store mengder utgående post, som utløste advarselsmekanismene. De ble åpnet fra uvanlige steder over hele verden og pumpet ut mange flere e-poster enn vanlig. Problemet som sikkerhetsteamet møtte var imidlertid at det ikke var noen tydelig indikasjon på den første angrepsvektoren - det var ingen av de vanlige advarselsskiltene som signaliserer et vellykket phishing-forsøk - ingen innkommende e-post fra ukjente adresser, ingenting.

Faren for kjennskap

Det viste seg at phishing-e-postene faktisk ikke stammer fra mistenkelige eller ukjente adresser. De ble sendt som svarmeldinger på ekte, legitime e-poster. Det enkle faktum at de ondsinnede phishing-koblingene gjemte seg i e-post mottatt fra det som så ut som kjente kilder.

Mekanismen bak angrepet involverte en sofistikert bot. Når en e-post på det angrepne nettverket ble stjålet legitimasjonen, mottok boten påloggingsinformasjonen, loggte seg på den kompromitterte kontoen og begynte å sile gjennom innkommende e-post som ankom de siste dagene. Hver unike e-postkjede som ble oppdaget på denne måten mottok et svar fra boten med en melding som inneholdt koblingene til nettfiskeportalen som ble opprettet av kriminelle. Spesielt hadde skurkene kommet med tilstrekkelig generisk formulering om at å klikke på det vedlagte falske dokumentet aldri virket for rart eller malplassert.

Dette betyr at phishing-meldingen som ble sendt av boten, bevarte adressen, samtalekjedens originale emnelinje samt all tidligere kommunikasjon, noe som gjør den utrolig troverdig og pålitelig på overflaten, langt mer enn noe forsøk på phishing sendt av en ukjent adresse som umiddelbart utløser varsellamper selv for uerfarne brukere.

En ormlignende phishing-skadelig programvare

Det faktum at boten oppførte seg som en orm, som forplantet seg over selskapets e-postnettverk ved å skanne innbokser og sende det troverdige phishing-agnet, er viktig. Denne formeringsformen gjorde trusselen spesielt vanskelig å takle. Til slutt ble det oppdaget et mønster i de ondsinnede URL-ene og lagt til dette i et automatisk filter som virkelig kunne dempe og stoppe spredningen av den ormlignende phishing-bot.

Et annet viktig faktum som rapporten fremhever, er at boten var litt for ivrig for sitt eget beste. Hvis det ikke hadde vært så uvanlig store mengder utgående post for å utløse alarmene, kunne boten gått ubemerket lenger og forårsaket mye mer skade.

Den siste viktige takeawayen fra denne hendelsen var at flerfaktorautentisering skulle brukes når det var tilgjengelig og også gjøres tilgjengelig så snart som mulig der det ikke allerede er et alternativ.