Фишинговая атака, совершенная против организации, выявила хитрый метод переброски между жертвами, который исследователь сочтет «гениальным».
29 сентября архитектор кибербезопасности и охотник за головами Крейг Хейс обрисовал недавнюю попытку фишинга, которая вышла далеко за рамки обычной тактики спрей и молений и основных попыток взлома сети, чтобы стать «величайшей кражей паролей, которую он когда-либо делал. видел ».
В своем сообщении в блоге Medium Хейс подробно описал, как группа реагирования получила предупреждение от своей организации в 10 часов утра, когда пользователь стал жертвой фишинг-атаки.
Первоначально эксперт по безопасности просто посчитал уведомление «еще один день, еще одно нападение». Команда заблокировала затронутую учетную запись и начала расследование инцидента, чтобы найти основную причину и любой потенциальный ущерб.
Через несколько минут в их почтовый ящик поступило еще несколько предупреждений. В этом нет ничего необычного. Как отметил Хейс, «электронные письма, прошедшие через правила фильтрации, как правило, попадали сразу нескольким людям».
Однако после шестого отчета респонденты заметили, что это потенциально что-то более существенное — и к тому времени, когда они провели первоначальную оценку ущерба и два счета были восстановлены, они столкнулись с «огромной волной счетов. поглощений ".
«Мы видели, что ко всем учетным записям осуществлялся доступ из странных мест по всему миру и рассылалось большое количество электронных писем», — сказал Хейс. «Если так много учетных записей было поражено одновременно, это была либо действительно, действительно эффективная фишинговая атака, либо кто-то выждал время после кражи учетных данных в течение длительного периода».
Проблема заключалась в том, что первоначальный вектор кражи учетных данных не был очевиден, и ни одна жертва не получила в тот день электронное письмо от нового контакта — последнее из которых связано с тем, как обычно отправляются фишинговые сообщения, часто появляющиеся от поддельный или, казалось бы, законный источник.
См. Также: Что такое фишинг? Все, что вам нужно знать, чтобы защитить себя от мошеннических писем и прочего
В конце концов, команда обратилась к временным меткам входа в систему, чтобы связать захват аккаунта с сообщением по электронной почте — и это выявило вектор атаки.
«Фишинговые письма рассылались как ответы на подлинные письма», — пояснил исследователь. «Электронная почта, которой обмениваются наши люди и наши поставщики, наши клиенты, и даже между коллегами внутри компании».
Вот как это работало: как только одна учетная запись электронной почты была взломана, учетные данные для учетной записи были отправлены удаленному боту. Затем бот войдет в учетную запись и проанализирует электронные письма, отправленные за последние несколько дней.
«На каждую найденную уникальную цепочку электронной почты он отвечал на последнее электронное письмо со ссылкой на фишинговую страницу для сбора учетных данных», — сказал Хейс. «Формулировка была достаточно общей, чтобы соответствовать практически любому сценарию, и ссылка на« документ »не казалась неуместной».
Отправлено как ответ на все, с использованием законной учетной записи электронной почты и с учетом истории разговоров, попытка отличить бота от настоящего владельца учетной записи была трудной.
Техника, которая привела к массовым поглощениям, похожим на червя, заставила Хейса «трепетать» перед «феноменальным количеством счетов [that]которые были скомпрометированы в течение нескольких часов».
CNET: Мошенничество с заменой SIM-карты: как предотвратить кражу вашего номера телефона
К сожалению, по мере того, как бот рос в размерах и брал учетную запись за учетной записью, это позволяло он распространялся за пределы самой пострадавшей компании — фишинговые письма также отправлялись другим людям за пределами организации.
К этому моменту фишинговая атака вышла из-под контроля, и единственный способ ее остановить — найти в URL-адресах фишинговых страниц шаблон, который можно использовать для добавления правила карантина. .
Хотя Хейс называет кампанию «гениальной» и «самой любимой атакой, которую я видел лично», он также отмечает, что бот был «слишком эффективным», и его стремление распространять информацию вызывало красные флажки и предупреждения. слишком быстро, чтобы полностью раскрыть свой потенциал.
TechRepublic: ФБР говорит, что хакеры хотят развеять сомнения по поводу выборов 2020 года
Многофакторная аутентификация была быстро внедрена для учетных записей электронной почты, для которых не были включены дополнительные меры безопасности.
«Целью этого злоумышленника, вероятно, было собрать учетные данные для продажи в темной сети. Они достигли своей цели по сбору большого количества учетных данных, но они слишком шумно рассказывали, как они это делают, и немедленно подняли тревогу , теряя любую ценность, которую они приобрели ", — прокомментировал Хейс.
Предыдущее и связанное с ним покрытие
Подскажите? Свяжитесь с нами через WhatsApp | Сигнал на +447713 025 499 или на Keybase: charlie0
