Cyberbezpieczeństwo
Nowa kampania phishingowa omija uwierzytelnianie wieloskładnikowe
Nowa kampania phishingowa wykryta przez Microsoft jest szczególnie złośliwa: została przygotowana tak, aby omijać uwierzytelnianie wieloskładnikowe, które przeważnie uniemożliwia przejęcie kont. Jej ofiarami od września ubiegłego roku padło już co najmniej 10 tys. organizacji z całego świata.
Kampania phishingowa, o której poinformował we wtorek Microsoft, ma bardzo dużą skalę i jest zaprojektowana oraz realizowana w przemyślny sposób. Może pozwolić cyberprzestępcom na przejmowanie kont w poczcie elektronicznej nawet wówczas, gdy użytkownicy stosują uwierzytelnianie wieloskładnikowe, zaprojektowane właśnie po to, aby chronić przed takimi złośliwymi działaniami.
Do tej pory hakerzy zaatakowali w ten sposób niemal 10 tys. organizacji z całego świata. Działania sprawców trwają od września ubiegłego roku, a stosowana socjotechnika ukierunkowana jest na przekonanie odbiorców złośliwych wiadomości e-mail, aby przelali nadawcy pieniądze.
Jak działa złośliwa kampania?
Aby oszukać uwierzytelnianie wieloskładnikowe, atakujący umieścili kontrolowaną przez siebie stronę wyłudzającą dane uwierzytelniające w procesie logowania się na serwer poczty elektronicznej. Strona działa w taki sposób, że użytkownik wpisując swoje dane zostaje przekierowany do rzeczywistej witryny łączącej go z pocztą elektroniczną, z której dostaje odpowiedź – zatem nic nie wygląda tu podejrzanie.
Sprawcy oszustwa wykradają w ten sposób informacje zapisane w plikach cookies sesji użytkownika w przeglądarce, które wysłała prawdziwa strona poczty elektronicznej – i właśnie w ten sposób udaje im się obejść uwierzytelnianie wieloskładnikowe.
Przemyślane oszustwo wyłudzające środki finansowe
Po wykradzeniu plików cookies pozwalających na zalogowanie się do poczty i przejęcie konta, sprawcy wykorzystywali e-maile pracowników atakowanych organizacji do oszustw finansowych.
Tu znów wykazali się nieobserwowanym wcześniej sprytem: aby ich działalność nie wyszła na jaw, utworzyli specjalną regułę w skrzynce poczty elektronicznej, która przenosiła podejrzane maile od razu do skrytki przeczytanych wiadomości, w taki sposób, aby nie budziły podejrzeń i nie rzucały się zanadto nikomu w oczy.
Hakerzy potrafili wielokrotnie logować się na konta tych samych osób i wysyłać z nich maile, które skłaniały innych do wykonania przelewów na znaczne kwoty. Korespondencja wyglądała wiarygodnie, gdyż dotyczyła kontrahentów lub partnerów biznesowych i pod kątem prawdziwości nie budziła zbyt wielu wątpliwości u odbiorców – była to zatem dobrze przygotowana akcja socjotechniczna.
Jak chronić się przed socjotechniką, pisaliśmy na łamach naszego serwisu już wcześniej, opisując techniki prowadzenia takich ataków zarówno na użytkowników indywidualnych, jak i na firmy oraz organizacje, a nawet podmioty związane z administracją państwową.
Socjotechnika może być nie tylko narzędziem pozwalającym cyberprzestępcom na dokonywanie oszustw finansowych, ale i potężnym środkiem do realizacji działań z zakresu groźnego dziś cyberszpiegostwa.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
