Alışılmadık bir kimlik avı kampanyası ikna edici bir şekilde taklit ediyor çevrimiçi ödeme hizmeti PayPal’ın kullanıcıları ödeme yapmak için hesaplarına giriş yapmaları konusunda kandırmaya çalışması; gerçekte oturum açma, saldırganların bir hesabı ele geçirmesine olanak tanır. Saldırının yeni kısmı, Microsoft 365’teki meşru bir özelliğin bir test alanı oluşturmak için kötüye kullanılmasıdır; bu özellik, saldırganların, ödeme isteği mesajlarının PayPal’dan yasal olarak gönderilmiş gibi görünmesini sağlayan bir e-posta dağıtım listesi oluşturmasına olanak tanır.
Fortinet Labs’ın CISO’su Carl Windsor, kendisi de hedef alındığında kampanyayı keşfetti: o açıkladı bugün yayınlanan bir blog yazısında.
Windsor, sahte olmayan PayPal e-posta adresi kullanan bir göndericiden gelen kutusunda 2.185,96 ABD Doları tutarında bir ödeme talep eden bir talep aldı. Parayı talep eden kişi Brian Oistad adında biriydi ve “alıcı” adresinin Windsor’un e-posta adresi olmaması dışında fatura Billingdepartments’a gönderilmişti1[@]gkjyryfjy876.onmicrosoft.com — bunun gerçek bir e-posta olmadığına dair çok az belirgin işaret bulunduğunu söyledi.
Windsor, “Bu saldırının ilginç yanı, geleneksel kimlik avı yöntemlerini kullanmamasıdır” diye yazdı. “E-posta, URL’ler ve diğer her şey tamamen geçerlidir.”
Bu geçerlilik, ortalama bir e-posta kullanıcısını e-postadaki bağlantıya tıklamaya ikna edebilir ve bu da onları ödeme talebini gösteren PayPal giriş sayfasına yönlendirir.
Bu noktada, “bazı kişiler hesap ayrıntılarıyla giriş yapma eğiliminde olabilir, ancak bu son derece tehlikeli olur” diye yazdı. Bunun nedeni, giriş sayfasının hedefin PayPal hesap adresini gönderildiği adrese bağlamasıdır — Billingdepartments1[@]gkjyryfjy876.onmicrosoft.com, saldırganın kendi e-posta adresi tarafından kontrol edilmiyor.
Microsoft 365 Test Etki Alanlarının Siber Suçlar İçin Kötüye Kullanılması
Kampanya işe yarıyor çünkü dolandırıcı, üç ay boyunca ücretsiz olan bir Microsoft 365 test alanını kaydettirmiş ve ardından hedef e-postaları içeren bir dağıtım listesi oluşturmuş görünüyor. Windsor, gönderide bunun, etki alanından gönderilen tüm mesajların standart e-posta güvenlik kontrollerini atlamasına olanak tanıdığını açıkladı.
Daha sonra “PayPal Web portalında parayı talep ediyorlar ve adres olarak dağıtım listesini ekliyorlar” diye yazdı.
Bu para talebi daha sonra hedeflenen kurbanlara dağıtılır ve Microsoft 365 Gönderen Yeniden Yazma Planı (SRS), göndereni örneğin “bounces+SRS=onDJv=S6” şeklinde yeniden yazar.[@]5ln7g7.onmicrosoft.com, bu da SPF/DKIM/DMARC kontrolünü geçin,” diye ekledi Windsor.
“Panikleyen kurban neler olup bittiğini görmek için giriş yaptığında dolandırıcının hesabı (Billingdepartments1[@]gkjyryfjy876.onmicrosoft.com) kurbanın hesabına bağlanıyor” diye yazdı. “Dolandırıcı daha sonra kurbanın PayPal hesabının kontrolünü ele geçirebilir – güzel bir numara… [that] PayPal’ın kendi kimlik avı kontrolü talimatlarını bile gizlice geçebilir.”
Aslında, teslimat yapmak için bir satıcının özelliğinin kötüye kullanılması kimlik avı mesajı Bir güvenlik uzmanı, tipik e-posta güvenliğini aşma konusunda saldırganlara gizli bir avantaj sağladığını belirtiyor.
İnsan dışı kimlik yönetimi sağlayıcısı Oasis Security’nin araştırma başkanı Elad Luz, “E-postalar doğrulanmış bir kaynaktan gönderiliyor ve standart PayPal ödeme talebi gibi meşru mesajlarla aynı şablonu takip ediyor” diyor. “Bu, posta kutusu sağlayıcılarının bunları gerçek iletişimlerden ayırt etmesini zorlaştırıyor.”
Siber Savunma: Kimlik Avına Karşı “İnsan Güvenlik Duvarı” Oluşturun
Saldırı gerçek bir e-posta gibi göründüğünden, tuzağa düşmekten kaçınmanın en iyi çözümü, Windsor’un “insan güvenlik duvarı” veya “ne kadar gerçek olursa olsun, istenmeyen e-postaların farkında olmak ve bu e-postalara karşı dikkatli olmak üzere eğitilmiş biri” olarak adlandırdığı şeydir. görünebilir” diye yazdı yazısında.
“Bu, elbette, iş gücünüzün gereken hizmetleri almasını sağlama ihtiyacını vurguluyor. eğitim Windsor, kendilerini ve kuruluşunuzu güvende tutmak için bu gibi tehditleri tespit etmeleri gerektiğini belirtti.
Kendisi, bu vektörü kullanan bir kampanyanın tespit edilmesine yardımcı olmak için e-posta güvenlik tarayıcılarında “bu e-postanın bir dağıtım listesi aracılığıyla gönderildiğini gösteren birden fazla koşulu aramak” için bir kural oluşturmanın da mümkün olduğunu ekledi.
Stephen Kowski, “Kullanıcı davranışlarını statik filtrelerden daha derinlemesine analiz ederek bu gizli etkileşimlerin tespit edilmesine yardımcı olmak için” diğer tekniklerin yanı sıra, sosyal grafik modellerini analiz etmek için sinir ağlarını kullanan yapay zeka (AI) tabanlı güvenlik araçlarını kullanmak da bir başka potansiyel hafifletme yöntemidir. SlashNext Email Security+’ın saha baş teknoloji sorumlusu (CTO), Dark Reading’e şunları söylüyor:
“Bu tür bir proaktif algılama motoru, olağandışı grup mesajlaşma modellerini veya temel kontrollerden kaçan istekleri tanır” diyor. “Kullanıcı etkileşimi meta verilerinin kapsamlı bir incelemesi, bu sinsi yaklaşımı bile yakalayacaktır.”