Hakerzy projektując swoje ataki phishingowe potrafią doskonale podszywać się pod osoby prywatne lub firmy, aby ominąć filtry bezpieczeństwa i dotrzeć do sieci korporacyjnych – ostrzegają specjaliści z Check Pointa. Jedna z najbardziej imponujących kampanii phishingowych ostatnich miesięcy obejmowała m.in. przejęcie serwerów Uniwersytetu w Oksfordzie oraz wykorzystanie domeny Samsunga!
Na początku kwietnia 2020 r. badacze z firmy Check Point zaobserwowali wiadomości e-mail zatytułowane „Poczta głosowa Office 365”. Widniała w nich informacja o czekającej wiadomości głosowej w portalu użytkownika. Wiadomości zachęcały odbiorców do kliknięcia przycisku, który rzekomo przekierowywał ich na konto Office 365 w celu podjęcia dalszych działań. Jednak w rezultacie, ofiary zostały przekierowane były jednak na stronę phishingową udającą stronę logowania do Office 365.
W kampanii wymierzonej przeciw firmom z Europy (43%), Bliskiego Wschodu i Azji, hakerzy przejęli serwer pocztowy Uniwersytetu Oksfordzkiego, aby wysyłać złośliwe wiadomości e-mail do ofiar, które zawierały linki przekierowujące na serwer Adobe używany wcześniej przez Samsunga.
Nagłówki wiadomości pokazują, że hakerzy znaleźli sposób na nadużycie jednego z oksfordzkiego SMTP (prosty protokół przesyłania poczty), aplikacji, której głównym celem jest wysyłanie, odbieranie i/lub przekazywanie poczty wychodzącej między nadawcami i odbiorcami wiadomości e-mail. Korzystanie z uniwersyteckich serwerów SMTP pozwoliło hakerom przejść tzw. „kontrolę reputacji” wymaganą przez środki bezpieczeństwa firm.
Hakerzy wykorzystują przekierowania Adobe i Samsunga
W ciągu ostatniego roku kampanie phishingowe korzystały głównie z otwartych przekierowań Google i Adobe w celu zwiększenia wiarygodności adresów URL używanych w wiadomościach spamowych. Otwarte przekierowanie to adres URL witryny, który może być wykorzystywany przez każdego do przekierowywania użytkowników do innej witryny.
W tym przypadku łącza w wiadomości e-mail przekierowały do serwera Adobe, z którego wcześniej korzystał Samsung podczas kampanii marketingowej w 2018 r. Innymi słowy, link osadzony w oryginalnej wiadomości phishingowej był częścią zaufanej podstawy domeny Samsung – takiej, która niestety przekierowywała nieświadome ofiary na stronę hostowaną przez hakerów. Korzystając z określonego formatu linku kampanii Adobe oraz ich legalnej domeny, osoby atakujące zwiększyły szansę na ominięcie rozwiązań zabezpieczeń poczty e-mail opartych na reputacji czy czarnych listach.
– To, co na początku wydawało się klasyczną kampanią phishingową Office 365, okazało się mistrzostwem w oszustwie, dzięki wykorzystaniu znanych i renomowanych marek w celu uniknięcia zabezpieczeń drodze do ofiar. Dostęp do firmowej poczty mógł pozwolić hakerom na nieograniczoną eksplorację transakcji czy raportów finansowych; umożliwiał wysyłanie wiadomości e-mail z wiarygodnych źródeł, przejmowanie haseł, a nawet zasobów firmy w chmurze. Aby przeprowadzić swój atak, haker musiał zdobyć dostęp do serwerów Samsunga i Oxfordu, co oznacza, że miał czas na zrozumienie ich wewnętrznego działania, które pozwoliły mu pozostać niezauważonym. – mówi Lotem Finkelsteen, menedżer wywiadu zagrożeń w Check Point.
Check Point o swoich odkryciach poinformował Uniwersytet Oksfordzki, Adobe oraz Samsunga.
