Różności i nowinki technologia

Oszustwo phishingowe miało wszystkie dzwonki i gwizdki – z wyjątkiem jednego

Ekstremalne zbliżenie monitora laptopa.
Powiększać / Okno zapytania o nazwę użytkownika i hasło na stronie internetowej można zobaczyć na monitorze laptopa.

Przestępcy stojący za niedawnym oszustwem phishingowym zebrali wszystkie ważne elementy. Złośliwe oprogramowanie, które ominęło program antywirusowy – sprawdź. Szablon wiadomości e-mail omijający Zaawansowaną ochronę przed zagrożeniami w usłudze Microsoft Office 365 – sprawdź. Zestaw kont e-mail o dobrej reputacji, z których można wysyłać oszukańcze wiadomości e-mail – sprawdź.

To był przepis, który pozwolił oszustom ukraść ponad 1000 danych uwierzytelniających pracowników korporacji. Był tylko jeden problem: oszuści ukrywali swoje z trudem zdobyte hasła na serwerach publicznych, na których każdy – w tym wyszukiwarki – mógł (i zrobił) je zindeksować.

„Co ciekawe, z powodu prostego błędu w łańcuchu ataków, napastnicy stojący za kampanią phishingową ujawnili dane uwierzytelniające, które ukradli, do publicznego Internetu na dziesiątkach serwerów stref zrzutu używanych przez napastników” – napisali badacze z firmy bezpieczeństwa Check Point w poście opublikowanym w czwartek. „Dzięki prostemu wyszukiwaniu w Google każdy mógł znaleźć hasło do jednego z przejętych, skradzionych adresów e-mail: prezent dla każdego oportunistycznego napastnika”.

Naukowcy z Check Point znaleźli zdobycz, badając kampanię phishingową, która rozpoczęła się w sierpniu. Oszustwo pojawiło się w wiadomościach e-mail, które rzekomo pochodziły od firmy Xerox lub Xeros. E-maile były wysyłane z adresów, które przed przejęciem miały wysokie oceny reputacji, omijające wiele zabezpieczeń antyspamowych i antyphishingowych. Do wiadomości dołączony był złośliwy plik HTML, który nie wyzwalał żadnego z 60 najczęściej używanych silników ochrony przed złośliwym oprogramowaniem.

E-mail wyglądał następująco:

Punkt kontrolny

Po kliknięciu plik HTML wyświetlał dokument, który wyglądał następująco:

Punkt kontrolny

Kiedy odbiorcy zostali oszukani i zalogowani na fałszywe konto, oszuści przechowywali dane uwierzytelniające na dziesiątkach witryn WordPress, które zostały przejęte i zamienione w tak zwane strefy zrzutu. To rozwiązanie miało sens, ponieważ zaatakowane witryny miały prawdopodobnie wyższy wynik reputacji niż miałoby to miejsce w przypadku witryn należących do atakujących.

Atakującym nie udało się jednak wskazać witryn jako niedostępnych dla Google i innych wyszukiwarek. W rezultacie wyszukiwania w sieci WWW były w stanie zlokalizować dane i skierować analityków bezpieczeństwa do pamięci podręcznej z naruszonymi danymi uwierzytelniającymi.

„Odkryliśmy, że po wysłaniu informacji o użytkownikach do serwerów strefy zrzutu dane zostały zapisane w publicznie widocznym pliku, który można zindeksować przez Google” – czytamy w czwartkowym poście z Check Point. „Dzięki temu każdy mógł uzyskać dostęp do danych logowania do skradzionego adresu e-mail za pomocą prostego wyszukiwania w Google”.

Na podstawie analizy około 500 naruszonych danych uwierzytelniających firma Check Point była w stanie skompilować następujący podział branż docelowych.

Proste wyszukiwania w Internecie pokazują, że niektóre dane przechowywane na serwerach strefy zrzutu pozostawały dostępne do przeszukiwania w czasie, gdy publikowano ten post. Większość z tych haseł miała ten sam format, dzięki czemu możliwe było, że dane uwierzytelniające nie należały do ​​rzeczywistych kont. Odkrycie Check Point przypomina jednak, że podobnie jak wiele innych rzeczy w Internecie, skradzione hasła są gotowe do pobrania.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook