Фишинг через ESP-провайдеров
-
Похожий контент
-
От KL FC Bot
Тенденция к использованию в массовых рассылках уловок, характерных для целевого фишинга продолжает нарастать. Недавно нам попался образец письма, в котором атакующие использовали целую коллекцию достаточно сложных трюков. Казалось бы, применять их все в массовой фишинговой атаке — смысла не много. И тем не менее злоумышленники не поленились. (Хотя, как выяснилось при подробном анализе, атака была обречена на провал.) Мы решили, что это отличный повод для того, чтобы описать используемые фишерами приемы.
Письмо, имитирующее рассылку корпоративных гайдлайнов
В письме прекрасно практически все. Оно адресовано конкретному человеку в конкретной организации, при этом в имени отправителя используется прием Ghost Spoofing, то есть в поле From забита имитация легитимного адреса компании, в которой работает жертва (но, разумеется, не имеющая отношения к адресу из поля Reply To).
Рассылается письмо через инфраструктуру легитимной маркетинговой компании с хорошей репутацией, что не вызывает подозрений у почтовых фильтров. Вдобавок название этой компании и домен верхнего уровня, на котором размещен ее сайт, подобраны таким образом, чтобы усыплять бдительность получателя, — сайт находится в Индонезии, и домен .id может восприниматься вообще не как часть адреса, а как сокращение от слова идентификатор. Рядом с имитацией адреса, забитой в поле From, это выглядит достаточно натурально.
Письмо, имитирующее рассылку корпоративных гайдлайнов.
View the full article
-
От KL FC Bot
Исследователи обнаружили в Telegram фишинговый маркетплейс под названием ONNX, открывающий киберпреступникам доступ к инструментарию для угона аккаунтов Microsoft 365, в том числе и к методам обхода двухфакторной аутентификации. Благодаря этому злоумышленники могут поставить на поток фишинговые атаки на почтовые учетные записи Microsoft 365 и Office 365. Сотрудникам ИБ-отделов компаний стоит учитывать эту угрозу и уделять особенно пристальное внимание антифишинговой защите. Рассказываем о данной угрозе подробнее.
Вредоносное вложение с QR-кодом и обход двухфакторной аутентификации
Исследователи описали пример атаки с использованием инструментов фишингового маркетплейса ONNX, которая проводилась на сотрудников нескольких финансовых учреждений. Для начала жертвы получали электронные письма, якобы отправленные отделом кадров, а в качестве наживки использовалась тема зарплаты получателя.
Письма содержали вложенные PDF-файлы, внутри которых содержится QR-код, который надо отсканировать, чтобы получить доступ к «защищенному документу» с заветной информацией о зарплате. Идея тут в том, чтобы заставить жертву открыть ссылку не на рабочем компьютере, на котором, скорее всего, работает антифишинговая защита, а на смартфоне, где такая защита вполне может и не быть.
По ссылке открывается фишинговый сайт, который притворяется страницей входа в аккаунт Microsoft 365. Здесь жертву просят ввести сначала логин и пароль, а потом и одноразовый код двухфакторной аутентификации.
View the full article
-
От KL FC Bot
Распространение многофакторной аутентификации и популяризация облачных сервисов в организациях вынудили киберпреступников обновить свои тактики и инструменты. С одной стороны, для кражи информации и проведения мошеннических схем им даже необязательно проникать во внутреннюю сеть компании или распространять вредоносное ПО. Достаточно через легитимные учетные записи получить доступ к облачным сервисам, например к почте Microsoft 365 или файловым хранилищам MOVEit. С другой стороны, для этого не хватит украденной или подобранной пары логин-пароль и надо как-то обойти MFA. Большая серия кибератак на крупные организации, зарегистрированных за последнее время, затронувшая более 40 000 жертв, показывает, что злоумышленники освоились в новых условиях — применяют адаптированные к компании-жертве фишинговые техники и инструментарий Adversary-in-the-Middle в промышленных масштабах.
Что такое Adversary-in-the-Middle
Атака adversary-in-the-middle (AitM) является разновидностью известного класса атак Man-in-the-Middle. В коммуникации между легитимными участниками обмена информацией (клиентом и сервером) посередине встраивается атакующий, перехватывая запросы клиента и далее направляя их на сервер, а потом перехватывает ответы сервера и направляет их клиенту. При этом злоумышленник не просто прослушивает чужие коммуникации, а активно в них вмешивается, модифицируя контент в своих интересах.
View the full article
-
От KL FC Bot
Не так давно мы писали о том, что злоумышленники научились использовать легитимную инфраструктуру социальной сети для доставки достаточно правдоподобных на вид предупреждений о блокировке бизнес-аккаунта — с последующим угоном паролей. Оказывается, уже несколько месяцев очень похожим образом атакуют аккаунты разработчиков на GitHub, что не может не волновать корпоративную службу информационной безопасности (особенно если разработчики имеют административный доступ к корпоративным репозиториям на GitHub). Рассказываем о том, как устроена эта атака.
Угон аккаунтов на GitHub
Жертвам этой атаки приходят письма, отправленные с настоящего почтового адреса GitHub. В письмах говорится, что команда GitHub ищет опытного разработчика, которому компания готова предложить привлекательные условия — зарплату $180 000 в год плюс щедрый соцпакет. В случае заинтересованности в этой вакансии получателю письма предлагается подать заявку по ссылке.
Атака начинается с письма: GitHub якобы ищет разработчика на зарплату $180 000 в год. Источник
Посмотреть статью полностью
-
От KL FC Bot
Исследователь безопасности под ником mr.d0x опубликовал пост, описывающий новую методику, которая может быть использована для фишинга, а также, вероятно, и для другой вредоносной деятельности. Эта методика эксплуатирует так называемые прогрессивные веб-приложения (PWA, progressive web app). В этом посте мы разберемся, что же это за приложения, почему они могут быть опасны, как именно злоумышленники могут использовать их в своих целях и как от этой угрозы защититься.
Что такое прогрессивные веб-приложения
Прогрессивные веб-приложения — это один из способов разработки приложений с использованием веб-технологий. Грубо говоря, это веб-сайты, которые выглядят и работают совсем как нативные приложения, установленные у вас в операционной системе.
Общий принцип похож на устройство приложений, использующих фреймворк Electron, но с важным отличием. Electron-приложения — это своего рода «бутерброд» из веб-сайта и браузера, в котором этот сайт открывается, — то есть в каждое Electron-приложение встроен свой собственный браузер. А PWA для отображения того же веб-сайта используют движок того браузера, который уже установлен у пользователя в системе.
Поддержка прогрессивных веб-приложений есть во всех современных браузерах, но наиболее полно она реализована в Google Chrome и браузерах, построенных на проекте Chromium, — в том числе встроенном в Windows браузере Microsoft Edge.
Установить прогрессивное веб-приложение (если сайт в принципе предусматривает такую возможность) очень просто. Для этого достаточно нажать на неприметную кнопку в адресной строке браузера и подтвердить установку. Вот как это делается на примере прогрессивного веб-приложения сервиса Google Drive.
Посмотреть статью полностью
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти