Ayrıntılı ve oldukça sıra dışı bir kimlik avı kampanyası, eFax bildirimlerini yanıltmak ve kurbanları microsoft.com sayfaları aracılığıyla kimlik bilgilerini vermeye ikna etmek için güvenliği ihlal edilmiş bir Dynamics 365 Müşteri Sesi iş hesabı kullanmaktır.
Tehdit aktörleri, enerji, finansal hizmetler, ticari gayrimenkul, gıda, üretim ve hatta mobilya yapımı dahil olmak üzere çok çeşitli sektörlerden Microsoft 365 kullanıcılarını ve Cofense araştırmacılarını hedefleyen geniş çapta yayılan kampanya aracılığıyla düzinelerce şirketi vurdu. Kimlik Avı Savunma Merkezi (PDC), Çarşamba günü yayınlanan bir blog gönderisinde açıklandı.
Kampanya, kullanıcıları bir eFax hizmeti için müşteri geri bildirim anketine yönlendiriyor gibi görünen, ancak bunun yerine kimlik bilgilerini çalan bir sayfayı tıklamaya çekmek için yaygın ve olağandışı taktiklerin bir kombinasyonunu kullanıyor.
Saldırganlar, çok aşamalı çalışmanın çeşitli aşamalarında birden çok microsoft.com sayfasında barındırılan içeriği kullanarak yalnızca eFax’ı değil, Microsoft’u da taklit eder. Cofense istihbarat analizi müdürü Joseph Gallop, dolandırıcılığın Cofense’in bahardan beri gözlemlediği ve benzer bir taktiği kullanan bir dizi kimlik avı kampanyasından biri olduğunu söylüyor.
“Bu yılın Nisan ayında, gömülü ncv kullanan önemli miktarda kimlik avı e-postası görmeye başladık.[.]microsoft[.]Bu kampanyada kullanılan türden com anket bağlantıları” diyor Dark Reading.
Taktiklerin Kombinasyonu
Kimlik avı e-postaları, alıcının dikkatini gerektiren 10 sayfalık bir kurumsal e-Fax aldığını iddia ederek geleneksel bir cazibe kullanır. Ancak Cofense PDC’den Nathaniel Sagibanda yaptığı açıklamada, bundan sonra her şeyin alışılmış yoldan ayrıldığını açıkladı. çarşamba postası.
Alıcı, büyük olasılıkla, imza gerektiren bir belgeyle ilgili olduğunu umarak mesajı açacaktır. “Ancak, mesaj metnini okurken gördüğümüz şey bu değil” diye yazdı.
Bunun yerine, e-posta, gerçek bir dosya içeren bir fakstan teslim edilen ekli, adsız bir PDF dosyası gibi görünüyor – Gallop’a göre, bir kimlik avı e-postasının alışılmadık bir özelliği.
“Birçok kimlik bilgisi avı kampanyası, barındırılan dosyalara bağlantılar kullanırken ve bazıları ekleri kullanırken, gömülü bir bağlantının ek olarak görünmesi daha az yaygındır” diye yazdı.
Gönderiye göre, mesajı oluşturanın, müşteri geri bildirimi sağlamak için kullanılanlar gibi bir anket sitesi olduğunu belirten bir altbilgi içeren mesajda arsa daha da kalınlaşıyor.
Müşteri Anketini Taklit Etme
Araştırmacılar, kullanıcılar bağlantıyı tıkladıklarında, saldırganlar tarafından ele geçirilmiş bir Microsoft Dynamics 365 sayfası tarafından oluşturulan bir eFax çözüm sayfasının ikna edici bir taklidine yönlendirildiklerini söyledi.
Bu sayfa, eFax hizmeti hakkında geri bildirim sağlamak için bir Microsoft Müşteri Sesi anketine yönlendiriyor gibi görünen, ancak bunun yerine kurbanları kimlik bilgilerini sızdıran bir Microsoft oturum açma sayfasına götüren başka bir sayfaya bağlantı içerir.
Araştırmacılar, bu sayfadaki meşruiyeti daha da artırmak için, tehdit aktörü, sahte hizmet ayrıntıları için eFax çözümlerinin bir videosunu yerleştirecek kadar ileri gitti ve kullanıcıya herhangi bir sorguda “@eFaxdynamic365” ile iletişime geçmesi talimatını verdi.
Sayfanın altındaki “Gönder” düğmesi, tehdit aktörünün dolandırıcılıkta gerçek bir Microsoft Müşteri Sesi geri bildirim formu şablonu kullandığına dair ek bir onay işlevi de görüyor.
Sagibanda, saldırganların daha sonra şablonu “alıcıyı bağlantıya tıklamaya ikna etmek için sahte eFax bilgileri” ile değiştirdiğini ve bunun da kimlik bilgilerini saldırganlar tarafından barındırılan harici bir URL’ye gönderen sahte bir Microsoft oturum açma sayfasına yol açtığını yazdı.
Eğitimli Bir Gözü Kandırmak
Gallop, orijinal kampanyalar çok daha basit olsa da – Microsoft anketinde barındırılan çok az bilgi dahil – eFax sahtekarlık kampanyası kampanyanın meşruiyetini desteklemek için daha da ileri gidiyor, diyor Gallop.
Çok aşamalı taktikler ve ikili kimliğe bürünme kombinasyonu, mesajların güvenli e-posta ağ geçitlerinden geçmesine ve kimlik avı dolandırıcılıklarını tespit etmek için eğitilmiş en bilgili kurumsal kullanıcıları bile kandırmasına izin verebilir.
Gallop, “Yalnızca tüm süreç boyunca her aşamada URL çubuğunu kontrol etmeye devam eden kullanıcılar bunu bir kimlik avı girişimi olarak tanımlayabilirler” diyor.
Aslında, Siber güvenlik firması Vade tarafından yapılan bir anket Çarşamba günü yayınlanan ayrıca, marka kimliğine bürünmenin, kimlik avcılarının kurbanları kötü niyetli e-postalara tıklamaları için kandırmak için kullandığı en iyi araç olmaya devam ettiğini tespit etti.
Araştırmacılar, Facebook’un bu yıl şimdiye kadar gözlemlenen kimlik avı kampanyalarında en çok taklit edilen marka olmaya devam etmesine rağmen, 2022’nin ilk yarısında gözlemlenen kampanyalarda saldırganların en sık Microsoft kişiliğini üstlendiğini tespit etti.
Kimlik Avı Oyunu Güçlü Kalıyor
Gallop, şu anda araştırmacıların dolandırıcılığın arkasında kimin olabileceğini ya da saldırganların kimlik bilgilerini çalmak için özel amaçlarını tespit etmediğini söylüyor.
Vade raporuna göre, e-posta kaynaklı kötü amaçlı yazılımların dağıtılması uzaktan saldırılardan önemli ölçüde daha kolay olduğundan, kimlik avı genel olarak tehdit aktörlerinin yalnızca kimlik bilgilerini çalmak için değil aynı zamanda kötü amaçlı yazılımları yaymak için kurbanları tehlikeye atması için en kolay ve en sık kullanılan yollardan biri olmaya devam ediyor. .
Gerçekten de, bu tür bir saldırı, yılın ikinci çeyreği boyunca aydan aya artışlar gördü ve ardından Haziran ayında, Vade’in 100’den fazla artış gördüğünde “e-postaları Ocak 2022’den bu yana görülmeyen endişe verici hacimlere geri iten” bir başka artış gördü. dağıtımda milyonlarca kimlik avı e-postası.
Vade’den Natalie Petitto raporda, “Bilgisayar korsanlarının e-posta yoluyla cezalandırıcı siber saldırıları gerçekleştirebilmelerinin göreceli kolaylığı, e-postayı saldırı için en iyi vektörlerden biri ve işletmeler ve son kullanıcılar için sürekli bir tehdit haline getiriyor” dedi. “Kimlik avı e-postaları, en çok güvendiğiniz markaların kimliğine bürünerek, geniş bir potansiyel kurban ağı ve marka kılığına giren kimlik avcıları için bir meşruiyet pelerini sunar.”