Фишинг через ESP-провайдеров
-
Похожий контент
-
От KL FC Bot
Тенденция к использованию в массовых рассылках уловок, характерных для целевого фишинга продолжает нарастать. Недавно нам попался образец письма, в котором атакующие использовали целую коллекцию достаточно сложных трюков. Казалось бы, применять их все в массовой фишинговой атаке — смысла не много. И тем не менее злоумышленники не поленились. (Хотя, как выяснилось при подробном анализе, атака была обречена на провал.) Мы решили, что это отличный повод для того, чтобы описать используемые фишерами приемы.
Письмо, имитирующее рассылку корпоративных гайдлайнов
В письме прекрасно практически все. Оно адресовано конкретному человеку в конкретной организации, при этом в имени отправителя используется прием Ghost Spoofing, то есть в поле From забита имитация легитимного адреса компании, в которой работает жертва (но, разумеется, не имеющая отношения к адресу из поля Reply To).
Рассылается письмо через инфраструктуру легитимной маркетинговой компании с хорошей репутацией, что не вызывает подозрений у почтовых фильтров. Вдобавок название этой компании и домен верхнего уровня, на котором размещен ее сайт, подобраны таким образом, чтобы усыплять бдительность получателя, — сайт находится в Индонезии, и домен .id может восприниматься вообще не как часть адреса, а как сокращение от слова идентификатор. Рядом с имитацией адреса, забитой в поле From, это выглядит достаточно натурально.
Письмо, имитирующее рассылку корпоративных гайдлайнов.
View the full article
-
От KL FC Bot
Исследователи обнаружили в Telegram фишинговый маркетплейс под названием ONNX, открывающий киберпреступникам доступ к инструментарию для угона аккаунтов Microsoft 365, в том числе и к методам обхода двухфакторной аутентификации. Благодаря этому злоумышленники могут поставить на поток фишинговые атаки на почтовые учетные записи Microsoft 365 и Office 365. Сотрудникам ИБ-отделов компаний стоит учитывать эту угрозу и уделять особенно пристальное внимание антифишинговой защите. Рассказываем о данной угрозе подробнее.
Вредоносное вложение с QR-кодом и обход двухфакторной аутентификации
Исследователи описали пример атаки с использованием инструментов фишингового маркетплейса ONNX, которая проводилась на сотрудников нескольких финансовых учреждений. Для начала жертвы получали электронные письма, якобы отправленные отделом кадров, а в качестве наживки использовалась тема зарплаты получателя.
Письма содержали вложенные PDF-файлы, внутри которых содержится QR-код, который надо отсканировать, чтобы получить доступ к «защищенному документу» с заветной информацией о зарплате. Идея тут в том, чтобы заставить жертву открыть ссылку не на рабочем компьютере, на котором, скорее всего, работает антифишинговая защита, а на смартфоне, где такая защита вполне может и не быть.
По ссылке открывается фишинговый сайт, который притворяется страницей входа в аккаунт Microsoft 365. Здесь жертву просят ввести сначала логин и пароль, а потом и одноразовый код двухфакторной аутентификации.
View the full article
-
От KL FC Bot
Распространение многофакторной аутентификации и популяризация облачных сервисов в организациях вынудили киберпреступников обновить свои тактики и инструменты. С одной стороны, для кражи информации и проведения мошеннических схем им даже необязательно проникать во внутреннюю сеть компании или распространять вредоносное ПО. Достаточно через легитимные учетные записи получить доступ к облачным сервисам, например к почте Microsoft 365 или файловым хранилищам MOVEit. С другой стороны, для этого не хватит украденной или подобранной пары логин-пароль и надо как-то обойти MFA. Большая серия кибератак на крупные организации, зарегистрированных за последнее время, затронувшая более 40 000 жертв, показывает, что злоумышленники освоились в новых условиях — применяют адаптированные к компании-жертве фишинговые техники и инструментарий Adversary-in-the-Middle в промышленных масштабах.
Что такое Adversary-in-the-Middle
Атака adversary-in-the-middle (AitM) является разновидностью известного класса атак Man-in-the-Middle. В коммуникации между легитимными участниками обмена информацией (клиентом и сервером) посередине встраивается атакующий, перехватывая запросы клиента и далее направляя их на сервер, а потом перехватывает ответы сервера и направляет их клиенту. При этом злоумышленник не просто прослушивает чужие коммуникации, а активно в них вмешивается, модифицируя контент в своих интересах.
View the full article
-
От KL FC Bot
Занимающиеся фишингом киберпреступники все чаще отдают предпочтение сложным целевым атакам. Помимо использования для своих нужд разнообразных легитимных онлайн-сервисов, они применяют и методы социальной инженерии, чтобы убедить жертву перейти по ссылке. Недавно мы обнаружили очередную нестандартную многоступенчатую фишинговую схему, о которой стоит как минимум предупредить сотрудников, работающих с финансовой документацией.
Первое письмо
Начинается атака с того, что на почтовый адрес жертвы падает письмо от имени реально существующей аудиторской фирмы. В нем сообщается, что отправитель пытался прислать аудированный финансовый отчет (то есть отчет с результатами финансовой проверки), но он оказался слишком большим для почты и потому его пришлось загрузить в Dropbox. Следует отметить, что письмо отправляется с реального адреса на почтовом сервере компании (скорее всего, доступ к ящику захвачен атакующими).
Посмотреть статью полностью
-
От KL FC Bot
Один из самых старых советов по безопасности звучит так: «скачивайте программы только из официальных источников». Часто официальные источники — это основные магазины приложений на каждой платформе, но для миллионов полезных и бесплатных приложений с открытым исходным кодом самым что ни на есть официальным источником являются репозитории разработчиков на профильных сайтах, GitHub и GitLab. Прямо на них выкладываются исходники проектов, предлагаются исправления и дополнения в код, а зачастую есть возможность скачать и готовую сборку приложения. Эти сайты знакомы любому, кто хотя бы немного интересуется компьютерами, программами и программированием. Именно поэтому для многих (включая самих разработчиков и специалистов по ИБ) стало неприятным открытием то, что файл, доступный по ссылке вида github.com/ИмяРазработчика/НазваниеПроекта/files/номер/имя_файла, может быть опубликован совсем даже не разработчиком и содержать… что угодно.
Конечно, этим немедленно воспользовались киберпреступники.
Анатомия проблемы
GitHub и его близкий родственник GitLab построены вокруг совместной работы над проектами по разработке ПО. Одни разработчики могут выкладывать свой код, а другие — предлагать к нему дополнения, исправления или даже делать форки — свою альтернативную версию приложения или библиотеки. Когда в приложении обнаруживается ошибка, любой пользователь может сообщить об этом разработчику, заведя отчет о проблеме, issue. Другие пользователи способны подтвердить проблему в комментариях. Комментировать можно и выпуск новых версий приложения. По необходимости к комментариям добавляют файлы, например скриншоты с ошибкой или документы, на которых сбоит приложение. Эти файлы хранятся на серверах GitHub как раз по ссылкам вышеописанного вида.
Но у GitHub есть одна особенность: если пользователь подготовил комментарий, загрузил сопроводительные файлы, но не нажал кнопку «опубликовать», информация как бы «зависает» в черновике — она не видна ни владельцу приложения, ни другим пользователям GitHub. Но прямая ссылка на загруженный в комментарий файл при этом уже создана и вполне работоспособна — файл исправно выдается из CDN GitHub любому желающему, перешедшему по этой ссылке.
Посмотреть статью полностью
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти