Eksperci od cyberbezpieczeństwa stanęli w obliczu schematu phishingu, który zmienia zasady gry

Niedawny cyberatak został nazwany „przełomowym” - sformułowanie, którego oczywiście nie widzisz na co dzień. Co jednak sprawia, że ten konkretny atak phishingowy jest tak imponujący?

Atak został szczegółowo opisany i przeanalizowany przez badacza bezpieczeństwa Craiga Haysa w artykule Medium. Wszystko zaczęło się od zwykłych alertów dotyczących ataków phishingowych, które firmy zabezpieczające otrzymują od klientów. Jednak w miarę postępu wczesnego dochodzenia, kilka minut po pierwszym raporcie, więcej czerwonych lampek zaczęło migać, gdy coraz większa liczba kont e-mail z tej samej organizacji została naruszona.

Zhakowane konta e-mail wysyłały niezwykle duże ilości wychodzącej poczty, co spowodowało wyłączenie mechanizmów ostrzegawczych. Dostęp do nich uzyskiwano z niezwykłych miejsc na całym świecie i wysyłali o wiele więcej e-maili niż zwykle. Problem, na który natknął się zespół ds. Bezpieczeństwa, polegał jednak na tym, że nie było wyraźnego wskazania początkowego wektora ataku - nie było żadnych zwykłych znaków ostrzegawczych, które sygnalizują udaną próbę phishingu - żadnej poczty przychodzącej z nieznanych adresów, nic.

Niebezpieczeństwo zażyłości

Okazało się, że wiadomości phishingowe rzeczywiście nie pochodziły z podejrzanych lub nieznanych adresów. Były wysyłane jako wiadomości z odpowiedzią na autentyczne, legalne e-maile. Prosty fakt, że złośliwe odsyłacze phishingowe ukrywały się w wiadomościach otrzymywanych z czegoś, co wyglądało na znane źródła.

Mechanizm ataku obejmował wyrafinowanego bota. Gdy e-mail w zaatakowanej sieci został skradziony, bot otrzymał dane logowania, zalogował się na zaatakowane konto i zaczął przeszukiwać pocztę przychodzącą, która nadeszła w ciągu ostatnich kilku dni. Każdy unikalny łańcuch e-maili wykryty w ten sposób otrzymywał odpowiedź od bota z wiadomością zawierającą odsyłacze do portalu phishingowego utworzonego przez przestępców. Warto zauważyć, że oszuści wymyślili wystarczająco ogólne sformułowanie, że kliknięcie załączonego fałszywego dokumentu nigdy nie wydawało się zbyt dziwne ani nie na miejscu.

Oznacza to, że wiadomość phishingowa wysłana przez bota zachowała adres, oryginalny temat łańcucha konwersacji, a także całą wcześniejszą komunikację, dzięki czemu jest niewiarygodnie wiarygodna i niezawodna na powierzchni, znacznie bardziej niż jakakolwiek próba phishingu wysłana z nieznanego adresu. który natychmiast włącza światła ostrzegawcze nawet dla niedoświadczonych użytkowników.

Szkodliwe oprogramowanie wyłudzające informacje podobne do robaka

Fakt, że bot działał jak robak, rozprzestrzeniając się w firmowych sieciach poczty e-mail, skanując skrzynki odbiorcze i wysyłając wiarygodną przynętę phishingową, jest znaczący. Ten sposób rozprzestrzeniania się sprawił, że zagrożenie było szczególnie trudne do opanowania. Wreszcie wykryto wzorzec w złośliwych adresach URL i dodanie go do automatycznego filtra pozwoliło naprawdę ograniczyć i zatrzymać rozprzestrzenianie się podobnego do robaka bota phishingowego.

Innym ważnym faktem, który podkreśla raport, jest to, że bot był trochę zbyt chętny dla własnego dobra. Gdyby nie było tak niezwykle dużych ilości poczty wychodzącej, która włączałaby alarmy, bot mógłby pozostać niezauważony znacznie dłużej i spowodować znacznie więcej szkód.

Ostatnim istotnym wnioskiem z tego incydentu było to, że uwierzytelnianie wieloskładnikowe powinno być używane zawsze, gdy jest dostępne, a także udostępniane tak szybko, jak to możliwe, gdy nie jest to już możliwe.