Voicemail phishing email-ovi kradu Microsoft akreditive
Neko pokušava da ukrade akreditive za Microsoft 365 i Outlook tako što korisnicima šalje phishing email poruke prerušene u voicemail obaveštenja.
Kao i uvek, proverite da li je O365 stranica za prijavu zapravo O365
Ova kampanja je otkrivena u maju i u toku je, prema istraživačima u Zscalerovom ThreatLabz-u, i slična je phishing porukama poslatim pre nekoliko godina. Ovaj najnoviji talas je usmeren na američke entitete u širokom spektru sektora, uključujući bezbednost softvera, dobavljače bezbednosnih rešenja, vojsku, zdravstvo i farmaceutske proizvode, kao i lanac snabdevanja proizvodnje i isporuke, napisali su istraživači ovog meseca. Zscaler ima sedište u prvom redu u ovoj kampanji, jer je to bila jedna od ciljanih organizacija. „Kampanja za krađu identiteta na temu vocemail-a i dalje su uspešna tehnika društvenog inženjeringa za napadače jer su u stanju da namame žrtve da otvore priloge“, napisali su Sudeep Singh i Rohit Hegde iz kompanije.
„Ovo u kombinaciji sa upotrebom taktike zaobilaženja automatizovanih rešenja za analizu URL-ova, pomaže akteru pretnje da postigne bolji uspeh u krađi akreditiva korisnika.“ Napad počinje emailom koji ciljanom korisniku govori da ima voicemail u prilogu. Ako korisnik otvori prilog, preusmerava se na lokaciju za phishing akreditiva: stranicu koja se maskira kao legitimna Microsoft stranica za prijavu. Polje „from“ emaila je napravljeno tako da sadrži naziv kompanije primaoca tako da na prvi pogled izgleda bar malo uverljivo. JavaScript kod u HTML prilogu se pokreće kada se otvori i vodi korisnika na stranicu sa URL-om koja ima konzistentan format: uključuje ime ciljanog entiteta i domen koji je oteo ili koristi napadač. Na primer, kada je ciljan radnik Zscalera, URL stranice koristio je format scaler.zscaler.briccorp[.]com/<the mark’s email address in base64>, prema istraživačima.
„Važno je napomenuti da ako URL na kraju ne sadrži base64-encoded email, on umesto toga preusmerava korisnika na stranicu Wikipedia-e MS Office-a ili na office.com“. Ova URL adresa prve faze preusmerava browser na stranicu druge faze gde oznaka treba da odgovori na CAPTCHA pre nego što bude usmerena na stvarnu stranicu za krađu akreditiva. Stranice koriste Google-ovu reCAPTCHA tehniku, kao i prethodni voicemail napadi pre dve godine, koje je ThreatLabz tim takođe analizirao.
Korišćenje CAPTCHA omogućava lopovima da izbegnu automatizovane alate za skeniranje URL-ova, napisali su istraživači. Kada prođu tu fazu, oznake se zatim šalju na konačnu lokaciju za phishing akreditiva, gde vide ono što izgleda kao obična Microsoft stranica za prijavu koja traži nečije akreditive. Ako žrtva padne na prevaru, kaže joj se da njen nalog ne postoji. Prevaranti koji kradu akreditive koriste email servere u Japanu da pokrenu napade, navodi ThreatLabz. Upotreba phishing-a nastavlja da raste i naglo je porasla tokom vrhunca pandemije COVID-19 2020. i 2021. godine, pošto je većina kompanija brzo prešla na model uglavnom rada na daljinu, sa mnogim zaposlenima koji rade od svojih domova.
Prema FBI-ju, incidenti fišinga i srodnih zločina – kao što su vishing (video phishing) i smishing (koristeći tekstove) – u Sjedinjenim Državama su skočili sa više od 241.342 u 2020. na najmanje 323.972 prošle godine. Jedan od razloga zašto je phishing toliko popularan je taj što, uprkos količini iskustva koje pojedinci sada imaju sa računarima i kompanijama za obuku koje su u toku kako bi povećale svest o bezbednosti među zaposlenima, ljudi su i dalje slaba karika u sajber bezbednosti. Prema Egress-ovom Insajderskom istraživanju kršenja podataka 2021, 84 odsto anketiranih organizacija reklo je da je greška izazvala barem jedan od njihovih incidenata u kompjuterskoj bezbednosti. ThreatLabz duo je upozorio korisnike da ne otvaraju emai atačmente poslate iz nepouzdanih ili nepoznatih izvora i da verifikuju URL adresu u traci za adresu pre nego što unesu akreditive.
Izvor: Theregister
