Как компрометация корпоративной электронной почты имитирует законные веб-сервисы для привлечения кликов
20 мая 2023 г.Злоумышленники добавили новую брешь в традиционные кибератаки, направленные на компрометацию корпоративной электронной почты. Назовите это BEC 3.0 — фишинговые атаки, которые прячут ловушку в законных веб-сервисах, таких как Dropbox.
Avanan, подразделение Check Point Software, отследило недавний пример этого семейства атак, когда хакеры создавали бесплатные учетные записи Dropbox для получения учетных данных или сокрытия вредоносного ПО в выглядящих законными и контекстуально релевантных документах, таких как резюме потенциальных сотрудников.
Атака, как выяснила охранная фирма, началась с того, что актеры поделились PDF-файлом с чьим-то резюме через Dropbox. Цель не может просматривать документ, пока не добавится в Dropbox. Ссылка из Dropbox выглядела законной, из-за чего эксплойт было труднее обнаружить.
Фишинговый эксплойт включает в себя следующие шаги:
- Во-первых, пользователь щелкает ссылку в законном уведомлении от Dropbox на резюме и получает доступ к странице, размещенной в файлообменном сервисе.
Затем пользователь должен ввести свою учетную запись электронной почты и пароль для просмотра документа. Это означает, что злоумышленники имеют доступ к адресам электронной почты и паролям.
На этой странице, размещенной в Dropbox, пользователям предлагается ввести свою учетную запись электронной почты и пароль для просмотра документа, предоставляя учетные данные пользователя злоумышленникам.
Как только пользователь вводит свои учетные данные, он перенаправляется на фальшивую ссылку Microsoft OneDrive. При переходе по ссылке пользователям предоставляется вредоносная загрузка.
«Мы видели, как хакеры совершали много BEC-атак», — сказал Джереми Фукс, исследователь и аналитик по кибербезопасности в Avanan, в отчете об атаке. «У этих атак есть несколько вариантов, но, как правило, они пытаются обмануть руководителя или партнера, чтобы заставить конечного пользователя сделать что-то, чего он не хочет (например, оплатить счет не в том месте)», — сказал он.
СМОТРЕТЬ: Еще одна атака со скрытым вредоносным ПО направлена на DNS (TechRepublic)
«Использование законных веб-сайтов для размещения вредоносного контента — верный способ попасть в папку «Входящие», — сказал он. «Большинство служб безопасности проверят отправителя — в данном случае Dropbox — и увидят, что он законный, и примут сообщение. Потому что это законно», — добавил он.
Аванан сказал, что для предотвращения этих скрытых атак требуется ряд защитных мер, включая сканирование вредоносных файлов в Dropbox и ссылок в документах, а также замену ссылок в теле электронной почты и во вложениях. По словам Фукса, ключом к обучению против этих атак социальной инженерии является контекст: «Как правило, резюме отправляются через Dropbox? Если нет, это может быть поводом связаться с первоначальным отправителем и перепроверить. Если они есть, сделайте еще один шаг вперед. Когда вы входите в Dropbox, нужно ли мне снова входить в систему со своей электронной почтой?»
Аванан сказал, что исследователи связались с Dropbox 15 мая, чтобы сообщить им об этой атаке и исследовании.
Linktree также используется для захвата учетных данных
Ранее в этом месяце Аванан обнаружил аналогичный взлом, используя целевую страницу социальных сетей Linktree, которая размещена на таких сайтах, как Instagram и TikTok. Подобно атакам Dropbox, хакеры создали законные страницы Linktree для размещения вредоносных URL-адресов для сбора учетных данных.
По словам Аванана, злоумышленники отправляли целям поддельные уведомления Microsoft OneDrive или SharePoint о том, что им был предоставлен общий доступ к файлу, и инструктировали их открыть файл. В конечном итоге пользователь перенаправляется на поддельную страницу входа в Office 365, где его просят ввести свои учетные данные, где их учетные данные украдены.
«[Пользователи] должны подумать: зачем этому человеку отправлять мне документ через Linktree? Скорее всего, это было бы не так. Все это часть осведомленности о безопасности — понимание того, кажутся ли электронное письмо или процесс логичным», — сказал Фукс.
В этих случаях фирма предлагает получателям:
- Всегда проверяйте адрес отправителя перед тем, как ответить на письмо.
Остановитесь и подумайте, типичен ли носитель, используемый для доставки файла.
При входе на страницу дважды проверьте URL-адрес, чтобы убедиться, что это сайт Microsoft или другой законный сайт.
BEC-атаки с использованием легитимных сайтов могут усилиться в этом году
Фукс сказал, что нет очевидных визуальных подсказок, которые могли бы указать получателям атаки на эксплойты BEC. «Хотя, если бы вы вошли на страницу Dropbox, вы бы увидели логотип и ссылку OneDrive», — сказал он. «Внимательные пользователи должны заметить это несоответствие и подумать — зачем два конкурирующих сервиса на одной странице?», — добавил он.
Он предсказал, что эти атаки будут усиливаться. «Любой законный популярный сервис потенциально может быть использован в качестве средства для осуществления такого рода вредоносной деятельности. Вот почему мы ожидаем, что в ближайшем будущем он станет популярным», — сказал он, добавив, что эксплойт использовался десятки тысяч раз. «Мы считаем, что во второй половине года это действительно увеличится в объеме», — сказал он.
Оригинал