Phisher meniru Proofpoint, perusahaan keamanan siber, dalam upaya untuk kabur dengan kredensial email Microsoft Office 365 dan Google korban.
Menurut para peneliti di Armorblox, mereka melihat satu kampanye semacam itu dilemparkan ke perusahaan komunikasi global yang tidak disebutkan namanya, dengan hampir seribu karyawan ditargetkan hanya dalam satu organisasi itu.
“Email tersebut diklaim berisi file aman yang dikirim melalui Proofpoint sebagai tautan,” mereka menjelaskan dalam sebuah posting pada hari Kamis. “Mengklik tautan membawa korban ke halaman pembuka yang memalsukan branding Proofpoint dan berisi tautan masuk untuk penyedia email yang berbeda. Serangan itu termasuk spoof halaman login khusus untuk Microsoft dan Google. Baris subjek, “Re: Payoff Request,” ditujukan untuk mengelabui target agar mengira itu adalah bagian dari korespondensi yang sedang berlangsung, yang menambahkan suasana legitimasi sekaligus memberikan urgensi untuk proses.
“Menambahkan ‘Re’ ke judul email adalah taktik yang telah kami amati digunakan oleh scammer sebelumnya – ini menandakan percakapan yang sedang berlangsung dan mungkin membuat korban mengklik email lebih cepat,” menurut analisis.
Jika pengguna mengklik tautan email “aman” yang disematkan dalam pesan, mereka dibawa ke splash halaman dengan branding Proofpoint dan login spoofs.
“Mengklik tombol Google dan Office 365 mengarah ke alur login palsu khusus untuk Google dan Microsoft masing-masing,” peneliti menjelaskan. “Kedua aliran meminta alamat email dan kata sandi korban.”
Karena phish mereplikasi alur kerja yang sudah ada dalam kehidupan sehari-hari banyak pengguna (yaitu, menerima pemberitahuan email saat file dibagikan dengan mereka melalui cloud), penyerang tidak mengandalkan pengguna mempertanyakan email terlalu banyak, para peneliti mencatat.
“Ketika kita melihat email yang telah kita lihat sebelumnya, otak kita cenderung menggunakan pemikiran Sistem 1 dan mengambil tindakan cepat,” menurut analisis.
Dalam hal infrastruktur, email dikirim dari akun email yang disusupi tetapi sah milik pemadam kebakaran di Prancis Selatan. Ini membantu phish menghindari deteksi oleh filter keamanan email asli Microsoft, menurut Armorblox, yang mencatat bahwa email ditandai dengan tingkat risiko spam “1.” Dengan kata lain, mereka tidak ditandai sebagai spam sama sekali.
Selain itu, halaman phishing dihosting di domain induk “greenleafproperties[.]co[.]uk” .
“Catatan WhoIs domain menunjukkan bahwa itu terakhir diperbarui pada bulan April 2021,” kata peneliti. “URL saat ini dialihkan ke ‘cvgproperties[.]co[.]uk.’ Situs web barebone dengan pemasaran yang meragukan [meningkatkan] kemungkinan bahwa ini adalah situs tiruan.”
Serangan seperti ini menggunakan rekayasa sosial, peniruan identitas merek, dan penggunaan infrastruktur yang sah untuk melewati filter keamanan email tradisional dan tes mata pengguna. Untuk melindungi dari kampanye semacam itu, Armorblox menawarkan saran berikut:
<
ul>iSimpan kebersihan kata sandi: Terapkan otentikasi multi-faktor (MFA) di semua akun bisnis dan pribadi yang memungkinkan, jangan gunakan kata sandi yang sama di banyak situs/akun dan hindari penggunaan kata sandi yang terkait dengan informasi yang tersedia untuk umum (tanggal lahir, tanggal ulang tahun, dll.).
Keamanan siber untuk lingkungan multi-cloud terkenal menantang. OSquery dan CloudQuery adalah jawaban yang solid. Bergabunglah dengan Uptycs dan Threatpost pada Selasa, 16 November pukul 2 siang. ET untuk “Pengantar OSquery dan CloudQuery”, percakapan interaktif LIVE dengan Eric Kaiser, teknisi keamanan senior Uptycs, tentang bagaimana alat sumber terbuka ini dapat membantu menjinakkan keamanan di seluruh kampus organisasi Anda.
Daftar SEKARANG untuk acara LIVE dan kirim pertanyaan sebelumnya ke Becky Bracken dari Threatpost di becky.bracken@threatpost.com.
Tulis komentar
Bagikan artikel ini:
- iWeb Security