Специалисты по кибербезопасности зафиксировали новый вид фишинговой атаки, которая использует нестандартные тактики выманивания пользовательских данных. По словам исследователя Крейга Хейса, он наблюдал за «величайшим похитителем паролей» из всех, что он видел. Об этом сообщает ZDNet.
В своем блоге на Medium Хейс подробно описал, как команда реагирования получила предупреждение от своей организации в 10 утра, когда пользователь стал жертвой фишинг-атаки. Первоначально эксперт просто посчитал это рядовым случаем. Аккаунт жертвы заблокировали и начали разбираться в проблеме.
Спустя несколько минут специалисты получили еще несколько сообщений. На шестой жалобе безопасники поняли, что столкнулись с чем-то более существенным, так как происходила крупная волна захвата чужих аккаунтов.
«Мы видели, что доступ ко всем учетным записям был получен из странных мест по всему миру, они рассылали большое количество электронных писем, — сказал Хейс. — Для такого количества учетных записей, которые были поражены одновременно, это была либо очень эффективная фишинговая атака, либо кто-то выжидал после кражи учетных данных в течение долгого периода».
Проблема заключалась в том, что первоначальный источник кражи данных не был очевиден, ни одна из жертв не получала электронных писем от новых контактов. Обычно именно так выглядят фишинговые сообщения, которые часто возникают из ниоткуда и притворяются каким-нибудь человеком или компанией.
В конце концов команда обратилась к меткам времени входа, чтобы связать кражу учетных записей с переписками по email, и это выявило вектор атаки. Оказалось, что фишинговые письма были отправлены в качестве ответов на настоящие сообщения, которыми обмениваются сотрудники компании.
Вот как это произошло: как только одна учетная запись электронной почты была скомпрометирована, ее учетные данные отправились удаленному боту. Затем бот входил в учетную запись и анализировал электронные письма, отправленные в течение последних нескольких дней. Программа отвечала на последние электронные письма, добавляя фишинговую ссылку.
«Формулировка была достаточно общей, чтобы соответствовать почти любому сценарию, и ссылка на "документ" не казалась неуместной», — пояснил Хейс. Отличить бота от подлинного владельца учетной записи было трудно. Специалисты пришли в ужас от «феноменального» количества аккаунтов, которые были скомпрометированы в течение нескольких часов.
По мере того, как бот захватывал аккаунт за аккаунтом, он начал рассылать письма другим людям за пределами компании. К этому моменту фишинговая атака вышла из-под контроля. Единственным способом подавить атаку был поиск шаблона в URL-адресе фишинговых страниц, который можно было бы использовать для добавления правила карантина.
Эксперт подчеркнул, что бот был слишком эффективен, и из-за этого он был быстро остановлен. Однако эту стратегию все же признают «гениальной». Для всех пострадавших аккаунтов оперативно подключили многофакторную аутентификацию.
Это тоже интересно:
