Nové upozornění od společnosti Microsoft na spoustu phishingové útoky navržen tak, aby ukradl uživatelská jména a přihlašovací údaje Office 365 prostřednictvím řady škodlivých přesměrování, vyvolal varování z celé komunity zabezpečení.
Poprvé označen 26. srpnaKampaň využívá odkazy otevřeného přesměrovače v kombinaci s návnadami sociálního inženýrství, které se vydávají za Office 365, aby sváděly uživatele ke kliknutí na odkaz. To vede k sérii otevřených přesměrování – která mají společná legitimní použití, například k přesměrování zákazníků na vstupní stránku nebo sledování míry kliknutí na e -maily -, aby se oběť dostala na škodlivý Google ReCAPTCHA ověřovací stránku a odtud na falešnou přihlašovací stránku Office 365, kde se smolaři zbaví svých přihlašovacích údajů, a poté přesměrováni na jinou falešnou stránku, která se údajně vydává za Sophos, aby přidala podniku další legitimitu.
Společnost Microsoft také varovala, že jedna běžná metoda, jak se vyhnout kliknutí na phisha – umístěním kurzoru na odkaz zobrazíte úplnou adresu URL – je v tomto případě neúčinná, protože zákeřní aktéři za kampaní nastavili otevřená přesměrování pomocí legitimní služby.
Společnost Microsoft neposkytla žádné informace o tom, kdo by mohl být za kampaní, ani o tom, jak by mohla být použita ohrožená data, ale poskytla různé indikátory kompromitace (IOC) a ukázky škodlivých e -mailů Office 365 a škodlivých domén, aby pomohla bezpečnostním týmům být na stráži.
ProPrivacy Adam Drapkin řekl, že několik prvků této kampaně by mělo být obzvláště znepokojující, jako jsou vícevrstvé přesměrování a spoof stránky, jejichž cílem je ujistit oběti, že nedělají nic špatného, a skutečnost, že zákeřní aktéři za nimi neutralizovali jeden z nejznámější taktiky proti phishingu.
“Tento příběh ilustruje neustálé závody ve zbrojení mezi podvodníky s jejich stále důmyslnějšími triky a spotřebiteli, kteří se stále více vzdělávají v technikách phishingu,” řekl. “Je to ukázkový příklad toho, proč jednotlivci a podniky musí zůstat na špičce vzdělání – co je dnes dobrou praxí, může být zítra špatnou praxí.”
KnowBe4 Obhájce povědomí o bezpečnosti Javvad Malik dodal: „Zločinci nadále vyvíjejí své techniky a taktiky, aby zajistili, že jejich phishingové kampaně budou úspěšnější. Použití přesměrování nebo skrytí za CAPTCHA je dobrý způsob, jak obejít kontroly ověření odkazu nebo jiné nástroje. Proto je důležité, aby si organizace pamatovaly, že bez ohledu na to, jak dobrá je konkrétní technologie dnes, nemusí být nutně účinná po celou dobu tváří v tvář neustále se měnícím hrozbám.
“Zavedení robustního plánu zvyšování povědomí o zabezpečení a školení je proto zásadní, aby uživatelé mohli identifikovat podezřelé e -maily a mohli je hlásit.”
Sectigo hlavní kontrolor shody Tim Callan uvedl, že riziko phishingu se stalo zvláště akutním v „novém normálu“ vzdálené nebo hybridní práce.
“Masivně distribuované pracovní síly a šíření IoT.” [internet of things] v tomto světě Covid-19 vytvořili bujnou půdu pro špatné herce k provádění útoků, “řekl. “Je nezbytné, aby zaměstnanci porozuměli základům digitální identity a digitální hygieny a byli vyškoleni v rozpoznávání pokusů o sociální inženýrství, jako je phishing.”
Ale problém byl větší než jen phishing, řekl Callan. “Tyto útoky osvětlují.” diskurz s nulovou důvěroua potřeba širšího využití silných autentizačních mechanismů, jako jsou klientské certifikáty, “řekl. “Zásady nulové důvěryhodnosti musí být jádrem, aby podniky mohly důvěřovat své vlastní síti stejným způsobem jako důvěrnému veřejnému internetu-což znamená s extrémní opatrností.”
“Zlí lidé mají několik způsobů, jak dovnitř, a nekončí tam, jakmile mají oporu.” S cloudem, hybridními sítěmi a segmentací sítě data společnosti pravděpodobně překračují více než jednu nepřátelskou hranici sítě. Silná autentizace je místo, kde začít, a digitální identity jsou novým perimetrem. “
Drapkin společnosti ProPrivacy dodal, že dalším důsledkem této nejnovější kampaně může být to, že Google může jednat o zajištění zkrácených adres URL. “Jsou to marketingové nástroje, ale kolik přesně toho zneužije Google, než dojde k nějaké změně?” řekl.
