Hakerzy próbują ukraść dane logowania do konta Microsoft za pomocą sprytnego oszustwa na Dysku Google

Phishing Attack Uses Google Drive

Niektóre dane logowania są cenniejsze niż inne i nie jest zaskoczeniem, że ataki phishingowe skierowane na ważne konta są zwykle znacznie bardziej wyrafinowane i dobrze przemyślane. W styczniu badacze z Check Point natknęli się na kampanię phishingową, o której pisali dopiero we wtorek, i pokazali nam, jak trudne może być wykrycie dobrze zaprojektowanych ataków.

Oszuści próbowali ukraść poświadczenia usługi Office 365 użytkowników za pomocą sprytnego ataku phishingowego

E-maile zostały wysłane do pracowników organizacji korzystających z Office 365. Po pierwsze, wiadomość przekierowała ofiarę do pliku PDF hostowanego w chmurze, który zawierał łącze, rzekomo prowadzące do udostępnionego dokumentu, którym pracownik jest zainteresowany. Odsyłacz przekierował do tego, co wygląda jak strona logowania do programu SharePoint, która prosi użytkownika o zalogowanie się. Mogą to zrobić za pomocą poświadczeń usługi Office 365 lub identyfikatora organizacji. Niezależnie od wybranej opcji, pojawi się wyskakujące okienko z przekonująco wyglądającym formularzem logowania Microsoft, a wszelkie informacje, które w nim wprowadzą, zostaną przesłane bezpośrednio do oszustów.

Jeśli przejrzysz zrzuty ekranu Check Pointa, zobaczysz, że błędy gramatyczne i ortograficzne, które często kojarzymy z atakami phishingowymi, nie są nigdzie widoczne. Formatowanie jest prawie takie samo jak oryginał, a podczas całej operacji użytkownicy mogą łatwo zostać oszukani, że naprawdę zamierzają zalogować się na swoje konta Microsoft. Co więcej, po wprowadzeniu danych logowania zostają przekierowani do prawdziwego raportu od globalnej firmy konsultingowej, który może uczynić wszystko jeszcze bardziej wiarygodnym. To nie jedyna rzecz, która wyróżnia ten atak na tle pozostałych.

Phisherzy intensywnie korzystali z usług chmurowych Google

Pierwszy plik PDF, który zobaczyły ofiary, był przechowywany na Dysku Google. Strona podszywająca się pod SharePoint, do której prowadziło łącze, została również przesłana do usług hostingowych Google w chmurze, podobnie jak sam złośliwy formularz logowania.

Oczywiście zobaczenie strony logowania Microsoft hostowanej w infrastrukturze należącej do Google nie jest normalne, ale oszuści wiedzieli, że niewielu użytkowników zwraca szczególną uwagę na pasek adresu, gdy wpisują swoje dane logowania. Wiedzieli również, że osoby, które to robią, są mniej podejrzane, jeśli zobaczą domenę, którą rozpoznają.

Korzystając z usług Google, phisherom udaje się również uniknąć dokładnej kontroli zarówno ze strony zautomatyzowanych narzędzi, jak i ze strony administratorów systemów monitorujących działania pracowników. Podsumowując, wykorzystanie chmury Google znacznie zwiększyło prawdopodobieństwo powodzenia ataku.

Atak został zorganizowany przez grupę doświadczonych phisherów

Poziom wyrafinowania wykazany przez phisherów nie powinien być tak zaskakujący, biorąc pod uwagę ich duże doświadczenie. Wkrótce po wykryciu ataku badacze powiadomili Google, a złośliwe strony zostały usunięte. Jednak zanim przeszli do trybu offline, eksperci Check Point przejrzeli kod źródłowy i zauważyli, że chociaż strony były hostowane w chmurze Google, większość zasobów była ładowana z prvtsmtp [.] Com, domeny zewnętrznej.

Domena wskazywała na ukraiński serwer, który był używany w kilku kampaniach phishingowych. Po pierwsze, sam hostował złośliwe strony, a później stanowił część infrastruktury podczas ataków wykorzystujących usługi chmurowe Microsoft Azure.

Badacze z Check Point pomogli położyć kres atakowi, który odkryli w styczniu, ale jest mało prawdopodobne, aby powstrzymali doświadczoną grupę phisherów, którzy stoją za tym na dobre. Tylko czas pokaże, jaki będzie następny ruch cyberprzestępców. W międzyczasie pracownicy na całym świecie muszą szczególnie uważać, gdzie i kiedy wprowadzają swoje dane logowania.

July 22, 2020
Ładowanie...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.