05.10.2023 | Фишинг на Indeed: мошенники крадут корпоративные данные боссов крупных компаний |
Исследователи из Menlo Security обнаружили новую фишинговую кампанию , нацеленную на аккаунты Microsoft 365 ключевых исполнительных директоров организаций в США. В рамках кампании киберпреступники злоупотребляют открытыми перенаправлениями ( Open Redirect ) с сайта поиска работы Indeed. Злоумышленник использует фишинговый инструмент EvilProxy , который может собирать сессионные куки, что позволяет обходить механизмы многократной аутентификации (Multi-Factor Authentication, MFA). В Menlo Security сообщают, что целью фишинговой кампании являются исполнительные директора и сотрудники высшего звена из различных отраслей, включая производство электронной продукции, банковское и финансовое дело, недвижимость, страхование и управление имуществом. Открытое перенаправление (Open Redirect) — это тип уязвимости, когда веб-приложение допускает перенаправление пользователя на произвольные внешние URL -адреса без должной проверки. Это означает, что злоумышленник может создать вредоносную ссылку, которая перенаправит пользователя на фальшивые или опасные веб-сайты. Поскольку ссылка исходит от доверенного источника, она может обойти меры безопасности электронной почты или продвинуться в результатах поиска без вызова подозрений.
Цепочка атаки В обнаруженной кампании злоумышленники используют открытое перенаправление на indeed.com, американском сайте для поиска работы. Цели получают письма с ссылкой на indeed.com, которая выглядит легитимной. При доступе URL перенаправляет пользователя на фишинговый сайт, действующий как обратный прокси для страницы входа в систему Microsoft. EvilProxy представляет собой платформу «фишинг как услуга» (Phishing-as-a-Service, PaaS ), использующую обратные прокси для облегчения связи и передачи данных пользователя между целью и подлинным онлайн-сервисом (в данном случае Microsoft). Когда пользователь получает доступ к своему аккаунту через фишинговый сервер, имитирующий страницу входа, злоумышленник может захватить cookie -файлы жертвы. Поскольку жертва уже выполнила требуемые шаги MFA во время входа в систему, украденные куки предоставляют киберпреступнику полный доступ к аккаунту жертвы. Раскрытая фишинговая кампания подчеркивает растущее использование сложных методик киберпреступниками для обхода систем безопасности и нацеливания на ключевых исполнителей в ведущих отраслях. Эффективное использование PaaS-сервиса и уязвимостей веб-сайтов для перенаправления пользователей на поддельные страницы входа угрожает не только индивидуальной безопасности, но и корпоративной безопасности на более широком уровне. Злоумышленники, получившие доступ к аккаунтам высшего руководства, могут получить доступ к конфиденциальной информации, что может привести к значительным финансовым потерям и ущербу для репутации компаний. Атака подчеркивает необходимость усиления мер по кибербезопасности и обучения персонала осознанию угроз фишинга для минимизации рисков и обеспечения надежной защиты от подобных атак. |
Проверить безопасность сайта