Nedavno istraživanje Menlo Labsa otkrilo je sofisticiranu phishing kampanju usmjerenu na rukovodioce koji su zaposleni u raznim industrijama, kao što su bankarstvo , osiguranje, upravljanje imovinom, nekretnine i proizvodnja. Organizacije sa sjedištem u SAD-u bile su primarne mete.
Zaronimo u detalje
Kampanja krađe identiteta počela je u julu i zloupotrijebila je ranjivost otvorenog preusmjeravanja na platformi za traženje posla Indeed[.]com.
- Kampanja je koristila EvilProxy phishing komplet protiv potencijalnih meta.
- Stranice za krađu identiteta maskiraju se kao Microsoft, kao dio phishing metode protivnik u sredini (AiTM).
- Ovaj komplet radi kao obrnuti proxy, koji stoji između klijenta i legitimne web stranice, čime mu omogućava prikupljanje kolačića sesije.
- Takva akcija može zaobići sigurnosne mjere kao što je MFA koji nije otporan na phishing.
Modus operandi
- Phishing stranice, koje je implementirao EvilProxy, dinamički preuzimaju sadržaj sa legitimnih web lokacija za prijavu.
- Nakon toga, phisher je mogao presresti komunikaciju servera i ukrasti kolačiće sesije, omogućavajući im da se lažno predstavljaju kao žrtve i zaobiđu MFA.
Zašto je ovo važno
Ranjivost otvorenog preusmjeravanja igra ključnu ulogu u ovoj zlonamjernoj šemi. U suštini, to je kada aplikacija preusmjerava korisnike na nepouzdanu vanjsku domenu. Ova mana može iskoristiti povjerenje korisnika u originalni izvor, navodeći ih da vjeruju da pristupaju legitimnom web sajtu kada su, u stvarnosti, upućeni na zlonamjerni.
Zaključak
Ova kampanja naglašava rastuće prijetnje s kojima se organizacije suočavaju od hakera zbog upotrebe sofisticiranih alata i pouzdanih platformi za prevaru svojih meta. Da bi se takve prijetnje ublažile, preporučuje se edukacija zaposlenih kroz redovne sesije obuka, implementacija robusnih sigurnosnih protokola, kontinuisano praćenje mrežnog prometa i održavanje ažuriranih podataka o prijetnjama kako bi se identifikovale i suprotstavile novonastalim prijetnjama.
Izvor: Cyware Alerts – Hacker News