Emlak uzmanlarına yönelik olağandışı, hedefli bir kimlik bilgisi toplama kampanyasının bir parçası olarak, kimlik avı sunucularında düz metin olarak depolanan binlerce Microsoft 365 kimlik bilgisi keşfedildi. Araştırmacılar, saldırıların geleneksel kullanıcı adı-şifre kombinasyonlarının sunduğu artan ve gelişen riski gözler önüne serdiğini söylüyor, araştırmacılar, özellikle kimlik avının karmaşık bir şekilde artmaya devam ettiğini ve temel e-posta güvenliğinden kaçındığını söylüyor.
Ironscales’den araştırmacılar, siber saldırganların, realite alanında iki tanınmış finansal hizmet sağlayıcısının çalışanları için e-posta hesabı kimlik bilgilerini tehlikeye attığı saldırıyı keşfetti: First American Financial Corp. ve United Wholesale Mortgage. Analistler, kimlik bilgilerini ele geçirmek için onları sahte Microsoft 365 oturum açma sayfalarına yönlendirmek amacıyla, siber dolandırıcıların hesapları emlakçılara, emlak avukatlarına, tapu acentelerine ve alıcılara ve satıcılara kimlik avı e-postaları göndermek için kullandığını söyledi.
E-postalar, ekli belgelerin gözden geçirilmesi gerektiğini veya güvenli bir sunucuda barındırılan yeni mesajları olduğunu bildiren hedefleri uyarıyor. 15 Eylül ilanı Ironscales’in kampanyasında. Her iki durumda da gömülü bağlantılar, alıcıları Microsoft 365’te oturum açmalarını isteyen sahte oturum açma sayfalarına yönlendirir.
Kötü amaçlı sayfada bir kez, araştırmacılar işlemlerde olağandışı bir bükülme gözlemlediler: Saldırganlar, her bir kimlik avı oturumundan birden fazla parolayı ele geçirmeye çalışarak kurbanlarla geçirdikleri zamanı en iyi şekilde değerlendirmeye çalıştılar.
Araştırmacıların yazdıklarına göre, “Bu 365 kimlik bilgilerini göndermeye yönelik her girişim bir hata döndürdü ve kullanıcıdan tekrar denemesini istedi”. “Kullanıcılar, geçmişte kullanmış olabilecekleri diğer şifrelerin varyasyonlarını denemeden önce genellikle aynı kimlik bilgilerini en az bir kez daha göndererek, suçluların kaba kuvvet veya kimlik bilgisi doldurma saldırılarında satmaları veya kullanmaları için bir altın madeni kimlik bilgisi sağlar. popüler finansal veya sosyal medya hesaplarına erişin.”
Ironscales’in kurucusu ve CEO’su Eyal Benishti, Dark Reading’e verdiği demeçte, iyi düşünülmüş bir planla kurbanların hedef alınmasına gösterilen özenin kampanyanın en dikkat çekici yönlerinden biri olduğunu söylüyor.
“Bu, çok tanıdık bir markayı ve tanıdık bir eylem çağrısını taklit eden bir e-posta kimlik avı şablonu kullanarak (emlak acenteleri, tapu acenteleri, emlak avukatları) emlak sektöründe çalışan kişilerin peşinden gidiyor (“bu güvenli belgeleri gözden geçirin” veya “okuyun”. bu güvenli mesaj’),” diyor.
Kampanyanın ne kadar yayılabileceği belli değil, ancak şirketin soruşturması şu ana kadar en az binlerce kişinin kimlik avı yapıldığını gösterdi.
Benishti, “Kimlik avı yapan kişilerin toplam sayısı bilinmiyor, yalnızca müşterilerimizle kesişen birkaç örneği araştırdık” diyor. “Ancak sadece analiz ettiğimiz küçük örneklemeden, 10.000’den fazla gönderim denemesinde 2.000’den fazla benzersiz kimlik bilgisi seti bulundu (birçok kullanıcı aynı veya alternatif kimlik bilgilerini birden çok kez sağladı).
Mağdurlar için risk yüksektir: Gayrimenkulle ilgili işlemler, genellikle karmaşık dolandırıcılık dolandırıcılıklarına, özellikle işlemlere yöneliktir. gayrimenkul tapu şirketlerini içeren.
Benishti’ye göre, “Trendlere ve istatistiklere dayanarak, bu saldırganlar büyük olasılıkla, emlak işlemleriyle ilişkili banka havalelerini ele geçirmelerini/yönlendirmelerini/yönlendirmelerini sağlamak için kimlik bilgilerini kullanmak istiyorlar.”
Microsoft Güvenli Bağlantılar İş Başında Düşüyor
Ayrıca bu özel kampanyada kayda değer (ve talihsiz) bir temel güvenlik kontrolü görünüşe göre başarısız oldu.
Araştırmacılar, kimlik avının ilk turunda, tıklamaları istenen URL’nin kendisini gizlemeye çalışmadığını belirtti. / klasör…[dot]ştm.”
Ancak sonraki dalgalar, adresi bir Güvenli Bağlantılar URL’sinin arkasına sakladı – Microsoft Defender’da bulunan ve kötü amaçlı bağlantıları almak için URL’leri taraması gereken bir özellik. Güvenli Bağlantı, bağlantı tarandıktan ve güvenli kabul edildikten sonra, özel adlandırma kullanarak bağlantının üzerine farklı bir URL yazar.
Bu durumda, araç yalnızca gerçek yüzünüzdeki “bu bir kimlik avı!” ifadesini görsel olarak incelemeyi zorlaştırdı. bağlantısı ve ayrıca mesajların e-posta filtrelerini daha kolay geçmesine izin verdi. Microsoft, yorum isteğine yanıt vermedi.
Benishti, “Güvenli Bağlantıların bilinen birkaç zayıf yönü vardır ve yanlış bir güvenlik duygusu oluşturmak bu durumda önemli bir zayıflıktır” diyor. “Güvenli Bağlantılar, orijinal bağlantıyla ilişkili herhangi bir risk veya aldatma tespit etmedi, ancak bağlantıyı sanki varmış gibi yeniden yazdı. Kullanıcılar ve birçok güvenlik uzmanı, bir güvenlik denetimi olduğu için yanlış bir güvenlik duygusu kazanır, ancak bu denetim büyük ölçüde etkisizdir. “
Ayrıca not: Birleşik Toptan Mortgage e-postalarında, mesaj ayrıca bir “Güvenli E-posta Bildirimi” olarak işaretlendi, bir gizlilik reddi içeriyor ve sahte bir “Proofpoint Encryption ile Güvenli” başlığını taşıyordu.
Proofpoint’in siber güvenlik stratejisi başkan yardımcısı Ryan Kalember, şirketinin marka hırsızlığına yabancı olmadığını söyledi ve adının sahte kullanımının aslında şirketin ürünlerinin tarandığı bilinen bir siber saldırı tekniği olduğunu ekledi.
Kullanıcıların bir mesajın doğruluğunu belirlemek için markalaşmaya güvenemeyeceklerini hatırlatan iyi bir hatırlatma: “Tehdit aktörleri, hedeflerini bilgi ifşa etmeye ikna etmek için genellikle tanınmış markalar gibi davranıyor” diyor. “Ayrıca, kimlik avı e-postalarına meşruiyet katmak için genellikle bilinen güvenlik sağlayıcılarının kimliğine bürünüyorlar.”
Kötü Adamlar Bile Hata Yapar
Bu arada, çalınan kimlik bilgilerinden yararlananlar yalnızca OG kimlik avcıları olmayabilir.
Kampanyanın analizi sırasında araştırmacılar, e-postalarda orada olmaması gereken bir URL buldular: bir bilgisayar dosya dizinine işaret eden bir yol. Bu dizinin içinde siber suçluların haksız kazançları vardı, yani söz konusu kimlik avı sitesine gönderilen her bir e-posta ve şifre kombinasyonu, herkesin erişebileceği bir açık metin dosyasında tutuldu.
Benishti, “Bu tamamen bir kazaydı” diyor. “Özensiz çalışmanın sonucu veya başka biri tarafından geliştirilen bir kimlik avı kiti kullanıyorlarsa daha büyük olasılıkla cehalet – karaborsadan satın alınabilecek tonlarca şey var.”
Sahte web sayfası sunucuları (ve açık metin dosyaları) hızla kapatıldı veya kaldırıldı, ancak Benishti’nin belirttiği gibi, açık metin arızasından saldırganların kullandığı kimlik avı kitinin sorumlu olması muhtemeldir – bu, “çalınan kimlik bilgilerini kullanıma sunmaya devam edecekleri anlamına gelir” dünyaya.”
Çalınan Kimlik Bilgileri, Daha Fazla Gelişmişlik Phish Çılgınlığını Artırır
Araştırmacılar, kampanyanın, kimlik avı ve kimlik bilgisi toplama salgınını ve ileriye dönük kimlik doğrulama için ne anlama geldiğini daha geniş bir perspektife koyuyor.
Keeper Security CEO’su ve kurucu ortağı Darren Guccione, phishing’in gelişmişlik düzeyi açısından gelişmeye devam ettiğini ve yüksek risk düzeyi göz önüne alındığında işletmeler için bir açıklayıcı uyarı görevi görmesi gerektiğini söylüyor.
“Her düzeydeki kötü aktörler, kurbanlarını cezbetmek için gerçekçi görünen e-posta şablonları ve kötü niyetli web siteleri gibi estetik tabanlı taktikler kullanarak kimlik avı dolandırıcılıklarını uyarlıyor, ardından geçerli sahibinin erişimini engelleyen kimlik bilgilerini değiştirerek hesaplarını ele geçiriyor.” Dark Reading’i anlatıyor. “Bir satıcı kimliğine bürünme saldırısında [like this one]siber suçlular meşru bir e-posta adresinden kimlik avı e-postaları göndermek için çalıntı kimlik bilgilerini kullandıklarında, e-posta tanıdık bir kaynaktan geldiği için bu tehlikeli taktik daha da inandırıcıdır.”
Bolster’da ürün pazarlama müdürü Monnia Deng, çoğu modern kimlik avının güvenli e-posta ağ geçitlerini atlayabildiğini ve hatta iki faktörlü kimlik doğrulama (2FA) satıcılarını yanıltabildiğini veya bozabildiğini, sosyal mühendisliğin ise genel olarak bulut, mobilite ve mobilite çağında olağanüstü derecede etkili olduğunu ekliyor. ve uzaktan çalışma.
“Herkes çevrimiçi deneyiminin hızlı ve kolay olmasını beklediğinde, insan hatası kaçınılmazdır ve bu kimlik avı kampanyaları daha akıllı hale geliyor” diyor. Oltalamayla ilgili rekor sayıdaki saldırılardan üç makro eğilimin sorumlu olduğunu ekliyor: “İş sürekliliği için pandemi kaynaklı dijital platformlara geçiş, kolayca oltalama kitlerini satın alabilen ve hatta abonelik hizmeti ve bir kimlik avı e-postasından tedarik zinciri saldırısı oluşturabilecek teknoloji platformlarının birbirine bağımlılığı.”
Bu nedenle, gerçek şu ki Dark Web, çalınan kullanıcı adları ve parolalardan oluşan büyük önbellekleri barındırıyor; büyük veri dökümleri nadir değildir ve sırayla yalnızca kimlik bilgisi doldurma ve kaba kuvvet saldırılarını değil, aynı zamanda ek kimlik avı çabalarını da teşvik eder.
Örneğin, tehdit aktörlerinin, kimlik avlarını göndermek için kullandıkları e-posta hesabını ele geçirmek için yakın tarihli bir First American Financial ihlalinden gelen bilgileri kullanması mümkündür; bu olay kişisel bilgileri içeren 800 milyon belgeyi ifşa etti.
Benishti, “Veri ihlalleri veya sızıntıları, insanların düşündüğünden daha uzun bir yarı ömre sahiptir” diyor. “İlk Amerikan Mali ihlali Mayıs 2019’da gerçekleşti, ancak açığa çıkan kişisel veriler yıllar sonra silah olarak kullanılabilir.”
Bu hareketli pazarı ve onun içinde faaliyet gösteren vurguncuları engellemek için şifrenin ötesine bakmanın zamanı geldi, diye ekliyor.
Benishti, “Parolalar, sürekli artan karmaşıklık ve dönüş sıklığı gerektirir ve bu da güvenlik tükenmesine yol açar” diyor. “Pek çok kullanıcı karmaşık parolalar oluşturma çabası konusunda güvensiz olma riskini kabul ediyor çünkü doğru olanı yapmak çok karmaşık hale geliyor. Çok faktörlü kimlik doğrulama yardımcı oluyor, ancak kurşun geçirmez bir çözüm değil. Söylediğiniz kişi olduğunuzu doğrulamak için temel bir değişiklik gerekiyor. dijital bir dünyadasınız ve ihtiyacınız olan kaynaklara erişin.”
Kimlik Avı Tsunamisiyle Nasıl Savaşılır?
Yaygın parolasız yaklaşımlar hala çok uzaktayken, Proofpoint’ten Kalember, temel kullanıcı farkındalığı ilkelerinin kimlik avı ile mücadele ederken başlamanız gereken yer olduğunu söylüyor.
“İnsanlar, özellikle bir eki indirmek veya açmak, bir bağlantıya tıklamak veya kişisel veya finansal bilgiler gibi kimlik bilgilerini ifşa etmek gibi kullanıcının harekete geçmesini talep eden tüm istenmeyen iletişimlere temkinli yaklaşmalıdır” diyor.
Ayrıca, herkesin kullandığı her hizmette şifre hijyenini iyi öğrenmesi ve uygulaması çok önemlidir, diye ekliyor Benishti: “Bilgilerinizin bir ihlale karışmış olabileceği konusunda bir bildirim alırsanız, kullandığınız her hizmet için tüm şifrelerinizi sıfırlayın. Değilse, motive olmuş saldırganlar, istediklerini elde etmek için her türlü veriyi ve hesabı ilişkilendirmenin daha açık yollarına sahiptir.”
Buna ek olarak, Ironscales tüm çalışanlar için düzenli olarak kimlik avı simülasyonu testi yapılmasını önerir ve aranması gereken bir dizi kırmızı bayrak çağrısında bulunur:
- Kullanıcılar, gönderene yakından bakarak bu kimlik avı saldırısını tespit edebilirdi.
- Gönderen adresin iade adresiyle eşleştiğinden ve adresin genellikle ilgilendikleri işletmeyle eşleşen bir alan adından (URL) olduğundan emin olun.
- Kötü yazım ve dilbilgisi arayın.
- Fareyi bağlantıların üzerine getirin ve hedefin tam URL’sine/adresine bakın, olağandışı görünüp görünmediğine bakın.
- Microsoft 365 veya Google Workspace oturum açma gibi, kendileriyle ilişkili olmayan kimlik bilgilerini isteyen sitelere karşı her zaman çok dikkatli olun.