Эксперты по кибербезопасности столкнулись с фишинговой схемой, "меняющей правила игры"

Недавняя кибератака была названа «революционной» - формулировку, которую вы, очевидно, не видите каждый день. Что же делает эту фишинговую атаку такой впечатляющей?

Атака была подробно описана и проанализирована исследователем безопасности Крейгом Хейсом в статье на Medium. Все началось с обычных предупреждений о фишинговых атаках, которые службы безопасности получают от клиентов. Однако по мере того, как началось предварительное расследование, через несколько минут после первого отчета, начали мигать новые красные лампы, поскольку все большее количество учетных записей электронной почты из одной и той же организации считалось скомпрометированным.

Взломанные учетные записи электронной почты отправляли необычно большие объемы исходящей почты, что приводило к срабатыванию механизмов предупреждения. К ним обращались из необычных мест по всему миру, и они рассылали гораздо больше писем, чем обычно. Однако проблема, с которой столкнулась группа безопасности, заключалась в том, что не было четкого указания на начальный вектор атаки - не было ни одного из обычных предупреждающих знаков, свидетельствующих об успешной попытке фишинга - ни входящей почты с неизвестных адресов, ничего.

Опасность знакомства

Выяснилось, что фишинговые письма действительно исходили не с подозрительных или неизвестных адресов. Они были отправлены как ответные сообщения на подлинные, законные электронные письма. Тот простой факт, что вредоносные фишинговые ссылки скрывались в почте, полученной из, казалось бы, известных источников.

В основе атаки лежит сложный бот. Как только учетные данные электронной почты в атакованной сети были украдены, бот получил информацию для входа в систему, вошел в скомпрометированную учетную запись и начал анализировать входящую почту, поступившую за последние несколько дней. Каждая обнаруженная таким образом уникальная цепочка электронной почты получала ответ от бота с сообщением, содержащим ссылки на фишинговый портал, созданный преступниками. Примечательно, что мошенники придумали достаточно общие формулировки, чтобы щелчок по прикрепленному поддельному документу никогда не казался слишком странным или неуместным.

Это означает, что фишинговое сообщение, отправленное ботом, сохранило адрес, исходную тему цепочки разговоров, а также все предыдущие сообщения, что сделало его невероятно правдоподобным и надежным на первый взгляд, гораздо больше, чем любая попытка фишинга, отправленная с неизвестного адреса. который немедленно включает предупредительные световые сигналы даже для неопытных пользователей.

Фишинговое вредоносное ПО, похожее на червя

Тот факт, что бот действовал как червь, распространялся по корпоративным почтовым сетям, сканируя почтовые ящики и отправляя свою правдоподобную фишинговую приманку, имеет большое значение. Этот способ распространения сделал угрозу особенно трудной. Наконец, была обнаружена закономерность во вредоносных URL-адресах, и добавление ее к автоматическому фильтру позволило действительно ограничить и остановить распространение червеподобного фишингового бота.

Еще один важный факт, который подчеркивается в отчете, заключается в том, что бот был слишком рьяным себе во благо. Если бы не было таких необычно больших объемов исходящей почты, вызывающих срабатывание сигнализации, бот мог бы остаться незамеченным гораздо дольше и нанести гораздо больший ущерб.

Последний важный вывод из этого инцидента заключался в том, что многофакторную аутентификацию следует использовать всякий раз, когда она доступна, а также делать ее доступной как можно скорее там, где это еще не вариант.

October 2, 2020
Loading ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.