Siber suçlular, hükümetin Sponsorluk Yönetim Sistemine (SMS) katılan İngiltere göçmen sponsor lisans sahiplerini hedefleyen yeni tanımlanmış bir kimlik avı kampanyasında ev ofisi markalamasını kullanıyor.
SMS, işçi ve geçici işçi kategorilerindeki vizelere sponsor olan işverenler ve öğrenci ve çocuk kategorilerinde vize sponsoru yapan kurumlar için tasarlanmıştır. Öncelikle potansiyel çalışanlar veya öğrenciler için sponsorluk sertifikalarının oluşturulmasını ve atanmasını yönetmek ve sponsorlu göçmenler için koşulların değişikliklerini bildirmek için kullanılır.
E -posta güvenlik uzmanı Mimecast’taki tehdit araştırma ekibinden Samantha Clarke, Hiwot Mendahun ve Ankit Gupta tarafından tanımlanan kampanyanın arkasındaki kimliği belirsiz aktörler, öncelikle aşağı akış finansal sömürüsü ve veri hırsızlığı için kimlik bilgilerini tehlikeye atmaya çalışıyor gibi görünüyor.
Ekip, “Bu kampanya, İngiltere göçmenlik sistemi için önemli bir tehdidi temsil ediyor, saldırganlar kapsamlı finans ve veri sömürüsü için sponsorluk yönetim sistemine erişimden ödün vermek istiyor” dedi.
“Tehdit aktörleri, genellikle uyumluluk sorunları veya hesap askıya alma ile ilgili acil uyarılarla genel organizasyonel e -posta adreslerine gönderilen resmi ev ofis iletişimini taklit eden hileli e -postalar kullanıyor. Bu mesajlar, alıcıları kullanıcı kimliklerini ve şifrelerini hasat etmek için tasarlanmış sahte SMS giriş sayfalarını ikna etmeye yönlendiren kötü niyetli bağlantılar içeriyor.”
Sistematik kampanya, ilk bakışta gerçek bir ev ofisi bildirimini yakından taklit etmek için hedefe görünecek kimlik avı e -postaları ile başlar. Bu mesajlar acil bildirimler veya sistem uyarıları olarak ortaya çıkıyor, ancak gerçekte kullanıcıları kurbanların SMS kimlik bilgilerini yakalamak için kullanıcıları sahte oturum açma sayfalarına yönlendiriyor.
Mimecast ekibi tarafından daha derin bir teknik analiz, faillerin captcha geçitli URL’leri ilk filtreleme mekanizması olarak kullandıklarını, ardından saldırgan kontrollü kimlik avı sayfalarına yeniden yönlendirme, gerçek makalenin doğrudan bir klonu-biberlenmiş HTML ile tamamlandı, resmi İngiltere hükümet varlıklarına bağlantılar ve form sunum sürecine minimal değişiklikler.
Ekip, “Tehdit aktörleri, İngiltere göçmenlik sistemi içindeki hükümet iletişim modelleri ve kullanıcı beklentileri hakkında ileri düzeyde anlaşılıyor” dedi.
Kimlik avı saldırısının amacı nedir?
Kimlik avı saldırısının amacı iki yönlü gibi görünüyor ve her iki kuruluşu da göçmenleri İngiltere’ye ve göçmenlerin kendilerine meşru bir şekilde desteklemeyi hedefliyor.
Mimecast ekibi, birincil kurbanlarının SMS kimlik bilgilerini tehlikeye attıktan sonra, saldırganların birden fazla farklı para kazanma hedefi izlediğini söyledi. Bunların şefi, sahte sponsorluk sertifikalarının (COS) verilmesini kolaylaştırmak ve kuruluşların kendilerine gasp saldırıları yapmak için karanlık web forumlarında uzlaşmış hesaplara erişim satışı gibi görünmektedir.
Bununla birlikte, sömürü için daha karanlık – ve potansiyel olarak daha kazançlı bir cadde, sahte iş tekliflerinin ve vize sponsorluk planlarının oluşturulmasını içerir.
Bilgisayar Haftalık, İngiltere’ye taşınmak isteyen bazı aşağı yönlü kurbanların, siber suçlular tarafından asla gerçekleşmeyen meşru vizeler ve iş teklifleri için 20.000 £ ‘a kadar dolandırıldığını anlıyor.
Sonraki Adımlar
Bu kimlik avı kampanyasından risk altında olabilecek Mimecast müşterileri için firma, e -posta güvenlik platformunun kendisiyle ilişkili gelen e -postaları algılamasını ve engellemesini sağlayan kapsamlı algılama yetenekleri uygulamıştır ve herhangi bir gelişmeyi izlemeye devam etmektedir.
Genel olarak, SMS hizmetini kullanan kuruluşlar aşağıdaki adımları atmayı düşünmelidir:
- Hükümetin kimliğine bürünme ve şüpheli URL modellerini tespit etmek için e -posta güvenlik özelliklerini dağıtın ve kullanıcı etkileşiminden önce bağlantıları analiz etmek için URL yeniden yazma ve kum havuzunu uygulayın.
- SMS erişimi üzerinde çok faktörlü kimlik doğrulama (MFA) oluşturun ve uygulayın, bu kimlik bilgilerini sık sık döndürün ve eklemeyen garip erişim modelleri veya giriş konumları için SMS hesaplarını izleyin.
- Genel ev ofis iletişimine ve resmi e-posta alanlarına erişimi olanları, genel kimlik avı farkındalık eğitimi ve simülasyonları ile birleştiğinde, harekete geçmeden önce acil bildirimleri doğrulamanın önemini vurgulayın.
- SMS ile ilgili iletişim için doğrulama prosedürlerini ayarlayın, SMS uzlaşmasını olay müdahale protokollerine dahil edin ve mümkünse, tek fakir senaryoları ortadan kaldırmak için SMS görevlerini ayırın.
Yorum için İçişleri Bakanlığı ile iletişime geçildi.