- Porównanie
- Ćwiczenia
- To nowe „niepowiązane” oszustwo phishingowe oszukuje nawet ekspertów technicznych
Firma Sophos zajmująca się cyberbezpieczeństwem zaobserwowała dwie nowe kampanie phishingowe w środowisku naturalnym, wykorzystując nową sztuczkę, aby pomóc im uniknąć wykrycia. Oszustwa związane z phishingiem w wiadomościach e-mail często wykorzystują trzyetapowy proces, aby skłonić potencjalne cele do podania swoich danych uwierzytelniających, co rozpoczyna się od wiadomości e-mail zawierającej adres URL, który użytkownicy muszą kliknąć. Kliknięcie tego łącza prowadzi potencjalne ofiary do fałszywej strony logowania, na której gromadzone są ich dane uwierzytelniające, a następnie wysyłane do innej witryny, na której cyberprzestępcy stojący za kampanią wykorzystają je do przejęcia kontroli nad kontami użytkowników. Jednak te dwie nowe kampanie phishingowe, jedna otrzymana bezpośrednio przez Sophos, a druga zgłoszona przez czytelnika, również wykorzystują ten sam trzyetapowy proces, ale z niewielkimi zmianami. Nie można uzyskać dostępu do witryny sklonowanej w kroku drugim, klikając łącze w wiadomości e-mail. Zamiast tego fałszywa witryna została dołączona do wiadomości e-mail jako załącznik HTML.
Linki i załączniki HTML
Dołączając adresy URL swoich stron phishingowych do wiadomości e-mail, cyberprzestępcy stojący za tymi nowymi kampaniami zwiększają prawdopodobieństwo, że ofiara otworzy ich fałszywe strony internetowe. Dzieje się tak, ponieważ otwarcie załącznika nie wydaje się tak niebezpieczne, ponieważ nie jest to dokument, który może zawierać makra, plik PowerShell lub program wykonywalny. Teoretycznie otwarcie załącznika HTML powinno po prostu otworzyć stronę internetową zawartą w zabezpieczeniach piaskownicy przeglądarki, tak jakby ofiara kliknęła łącze. Jednak korzystając z załącznika HTML, użytkownicy nie mogą przedwcześnie wyodrębnić łącza w celu wyszukania fałszywej lub podejrzanej nazwy domeny, a adres URL w pasku adresu wygląda tak, jakby był lokalną nazwą pliku. Sophos ostrzegł przed niebezpieczeństwem otwierania załączników HTML w nowym poście na blogu, mówiąc: „Istnieją inne powody, aby nie otwierać załączników HTML, w tym JavaScript. Ze względów bezpieczeństwa kod skryptu w wiadomościach e-mail w formacie HTML jest usuwany lub blokowany, gdy nowoczesny czytnik wiadomości e-mail wyświetla wiadomość. Jest to zapobiegawcze oprogramowanie do obsługi poczty e-mail, które wprowadzono dziesiątki lat temu, kiedy samonapędzające się wirusy skryptowe, takie jak Kakworm, rozprzestrzeniały się dosłownie wszędzie. Kod skryptu Kakworm zostałby uruchomiony i wirus rozprzestrzeniłby się natychmiast po wyświetleniu wiadomości e-mail, nie czekając, aż klikniesz dalej. Jednak po otwarciu załącznika HTML nie podlegasz już ścisłej kontroli oprogramowania klienta poczty e-mail, a Twoja przeglądarka domyślnie zezwala na uruchamianie dowolnego kodu JavaScript w kodzie HTML. „Aby nie paść ofiarą tych nowych kampanii phishingowych, firma Sophos zaleca, aby użytkownicy całkowicie unikali załączników HTM lub HTML, nigdy nie łączyli się ze stronami internetowymi, na które trafili z wiadomości e-mail. „Włącz 2FA tam, gdzie to możliwe, zmień hasła, gdy podejrzewasz phishing, i użyj filtra internetowego.