Istraživači kibernetičke sigurnosti u Abnormal Security identifikovali su novu kampanju napada u kojoj prevaranti koriste BazarCall tehniku (BazaCall ili Callback phishing) za ciljanje žrtava. Ovaj put je, međutim, ozloglašeni metod phishing napada poprimio sofisticirani zaokret ugradnjom Google Forme kako bi poboljšao svoje strategije obmanjivanja.
Ovdje, vrijedno je napomenuti da su nalazi Abnormal Security-a došli samo nekoliko sedmica nakon što je FBI upozorio korisnike na Silent Ransom Group (SRG), takođe identifikovan kao Luna Moth, koji koristi Callback tehnike krađe identiteta za mrežne hakove.
U uobičajenom scenariju, BazarCall napad obično počinje sa phishing e-poštom koja se maskira kao obavještenje o plaćanju ili potvrda pretplate od poznatih brendova. E-pošta traži od primaoca da pozovu navedeni broj telefona kako bi osporili troškove ili otkazali uslugu, stvarajući osjećaj hitnosti. Međutim, pravi cilj je prevariti žrtve da instaliraju malver tokom telefonskog poziva, izlažući organizacije budućim sajber prijetnjama.
Ono što izdvaja ovu varijantu BazarCall-a je njeno korištenje Google Form-a za podizanje autentičnosti zlonamjernih e-poruka. Napadač pravi Google obrazac, dodajući detalje o lažnoj transakciji, uključujući broj fakture i informacije o plaćanju. Opcija prijema odgovora se tada aktivira, šaljući kopiju popunjenog obrasca na e-mail adresu cilja.
U objavi na blogu, Mike Britton, glavni službenik za sigurnost informacija u Abnormal Security-u, navodi da napadač dalje manipuliše procesom slanjem pozivnice za obrazac na sebe, dopunjujući ga adresom e-pošte cilja i čineći da izgleda kao potvrda plaćanja za proizvod ili uslugu. Korištenje Google obrazaca, poslanih s legitimne Google adrese, povećava legitimnost napada, otežava otkrivanje.
“Budući da se e-pošta šalje direktno iz Google Forma, adresa pošiljaoca je forms-receipts-noreply@googlecom, a ime za prikaz pošiljatelja je “Google Forms.” Ne samo da ovo doprinosi izgledu legitimnosti, već povećava šanse da poruka bude uspješno isporučena jer je e-pošta s legitimne i pouzdane domene.”
Mike Britton – Abnormal Security
Jedinstvenost ovog BazarCall-a leži u teškoći da se identifikuje tradicionalnim sigurnosnim alatima e-pošte. Za razliku od tipičnih prijetnji sa zlonamjernim vezama ili prilozima, ovaj napad se oslanja na Google Forms, pouzdan servis za ankete i kvizove.
Stvarna e-pošta koju su hakeri poslali pomoću Google obrazaca
Dinamička priroda URL-ova Google Forma dodatno komplikuje otkrivanje, jer se često mijenjaju, izbjegavajući statičku analizu i detekciju zasnovanu na potpisu koju koriste mnogi sigurnosni alati. Mike je dalje primijetio da se stari sigurnosni alati za e-poštu, kao što su sigurni pristupnici e-pošte (SEG), bore da razaznaju zlonamjernu namjeru koja stoji iza ovih e-poruka, što dovodi do potencijalnih prijetnji koje prolaze kroz pukotine.
Međutim, moderna AI rješenja za sigurnost e-pošte opremljena sa bihejviorastičkim AI i analizom sadržaja mogu precizno identifikovati i spriječiti takve napade prepoznavanjem lažnog predstavljanja brenda i pokušaja krađe identiteta.
U navigaciji kroz razvoj sajber prijetnji, ključno je ostati informisan o sofisticiranim metodama napada kao što je ova BazarCall varijanta. Usvajanje naprednih sigurnosnih rješenja e-pošte koja koriste umjetnu inteligenciju je od najveće važnosti za efikasnu zaštitu organizacija i pojedinaca od stalno promjenjivih taktika sajber kriminalaca.
Izvor: Hackread