Cybersäkerhetsexperter har mött ett "spelförändrande" nätfiskeprogram

En ny cyberattack kallades "spelförändring" - formulering som du uppenbarligen inte ser varje dag. Vad gör dock just det phishing-attacken så imponerande?

Attacken detaljerades och analyserades av säkerhetsforskaren Craig Hays i en Medium-artikel. Allt började med de vanliga phishing-attackvarningar som säkerhetsföretag får från kunder. Men eftersom den tidiga utredningen pågick, minuter efter den första rapporten, började fler röda lampor blinka när ett ökande antal e-postkonton från samma organisation kom upp som komprometterade.

De hackade e-postkontona skickade ut ovanligt stora mängder utgående e-post, vilket utlöste varningsmekanismerna. De nås från ovanliga platser över hela världen och pumpar ut många fler e-postmeddelanden än vanligt. Frågan som säkerhetsteamet stötte på var dock att det inte fanns någon tydlig indikation på den ursprungliga attackvektorn - det fanns inga vanliga varningssignaler som signalerar ett lyckat nätfiskeförsök - ingen inkommande e-post från okända adresser, ingenting.

Faren för bekanta

Det visade sig att phishing-e-postmeddelandena verkligen inte härstammar från misstänkta eller okända adresser. De skickades som svarsmeddelanden till äkta, legitima e-postmeddelanden. Det enkla faktumet att de skadliga phishing-länkarna gömde sig i e-post från vad som såg ut som kända källor.

Mekanismen bakom attacken involverade en sofistikerad bot. När ett e-postmeddelande i det angripna nätverket hade stulits inloggningsuppgifterna, fick mottagaren inloggningsinformationen, loggade in på det kompromitterade kontot och började siktas genom inkommande e-post som anlände de senaste dagarna. Varje unik e-postkedja som upptäcktes på detta sätt fick svar från botten med ett meddelande som innehöll länkarna till nätfiskeportalen som brottslingarna hade ställt in. Framför allt hade skurkarna kommit med en tillräckligt generisk formulering för att klicka på det bifogade falska dokumentet aldrig verkade för konstigt eller på sin plats.

Detta innebär att phishing-meddelandet som skickats av boten bevarade adressen, samtalskedjans ursprungliga ämnesrad samt all tidigare kommunikation, vilket gör den otroligt trovärdig och pålitlig på ytan, mycket mer än något försök till nätfiske som skickats av en okänd adress som omedelbart utlöser varningslampor även för oerfarna användare.

Ett maskliknande nätfiskeprogram

Det faktum att bot fungerade som en mask, som sprider sig över företagets e-postnätverk genom att skanna inkorgar och skicka sitt trovärdiga nätfiskebete är viktigt. Detta förökningssätt gjorde hotet särskilt svårt att hantera. Slutligen upptäcktes ett mönster i de skadliga URL: erna och lägga till detta i ett automatiskt filter som tillåtits att verkligen begränsa och stoppa spridningen av den maskliknande phishing-botten.

Ett annat viktigt faktum som rapporten lyfter fram är att bot var lite för ivrig för sitt eget bästa. Om det inte hade funnits så ovanligt stora volymer utgående e-post för att utlösa alarmen, kunde botten ha blivit obemärkt mycket längre och orsakat mycket mer skada.

Den sista viktiga hämtningen från denna händelse var att flerfaktorautentisering skulle användas när det var tillgängligt och också göras tillgängligt så snart som möjligt varhelst det inte redan är ett alternativ.