Хакеры пытаются украсть данные для входа в учетную запись Microsoft, используя умную аферу Google Drive
Некоторые учетные данные для входа в систему более ценны, чем другие, и неудивительно, что фишинговые атаки, направленные на важные учетные записи, имеют тенденцию быть гораздо более сложными и продуманными. В январе исследователи из Check Point наткнулись на фишинговую кампанию, о которой они писали только во вторник, и показали нам, насколько сложно обнаружить хорошо продуманные атаки.
Table of Contents
Мошенники пытались украсть учетные данные пользователей Office 365 с помощью фишинг-атаки
Электронные письма были отправлены сотрудникам организаций, использующих Office 365. Во-первых, сообщение перенаправило жертву в размещенный в облаке файл PDF, содержащий ссылку, предположительно ведущую к общему документу, в котором заинтересован сотрудник. Ссылка перенаправлена на выглядит как страница входа в SharePoint, на которой пользователю предлагается войти в систему. Они могут сделать это либо с помощью своих учетных данных Office 365, либо с помощью идентификатора своей организации. Какой бы вариант они ни выбрали, появится всплывающее окно с убедительно выглядящей формой входа в Microsoft, и любая введенная ими информация будет отправлена напрямую мошенникам.
Если вы посмотрите на скриншоты Check Point, то увидите, что грамматических и орфографических ошибок, которые мы часто связываем с фишинговыми атаками, нигде не видно. Форматирование практически такое же, как и в оригинале, и на протяжении всей операции пользователи могут легко обмануть себя тем, что действительно собираются войти в свои учетные записи Microsoft. Более того, как только они вводят свои учетные данные для входа, они перенаправляются на подлинный отчет глобальной консалтинговой фирмы, который может сделать все еще более правдоподобным. Это не единственное, что отличает эту атаку от остальных.
Фишеры широко использовали облачные сервисы Google
Первый увиденный жертвами PDF-файл был размещен на Google Диске. Страница олицетворения SharePoint, на которую она ссылалась, также была загружена в облачные хостинговые службы Google, как и сама форма вредоносного входа.
Очевидно, что просмотр страницы входа Microsoft, размещенной в инфраструктуре, принадлежащей Google, является ненормальным, но мошенники знали, что немногие пользователи обращают пристальное внимание на адресную строку, когда вводят свои учетные данные для входа. Они также знали, что те, кто это делают, с меньшей вероятностью станут подозрительными, если увидят домен, который они узнают.
Используя сервисы Google, фишерам также удается избежать тщательной проверки как со стороны автоматизированных инструментов, так и со стороны системных администраторов, отслеживающих действия сотрудников. В общем, использование облака Google значительно повысило вероятность успеха атаки.
Атака была организована группой опытных фишеров
Уровень сложности, продемонстрированный фишерами, не должен удивлять, если учесть, какой у них опыт. Вскоре после обнаружения атаки исследователи уведомили Google, и вредоносные страницы были удалены. Однако перед тем, как перейти в автономный режим, эксперты Check Point просмотрели исходный код и заметили, что, хотя страницы были размещены в облаке Google, большая часть ресурсов была загружена из prvtsmtp [.] Com, внешнего домена.
Домен указывал на украинский сервер, который использовался во многих фишинговых кампаниях. Во-первых, он сам размещал вредоносные страницы, а затем во время атак был частью инфраструктуры, в которой использовались облачные сервисы Microsoft Azure.
Исследователи Check Point помогли положить конец атаке, которую они обнаружили в январе, но они вряд ли остановят опытную группу фишеров, которые навсегда поддержат ее. Только время покажет, каким будет следующий шаг киберпреступников. Тем временем сотрудники во всем мире должны быть особенно осторожны, когда и когда они вводят свои учетные данные для входа.
