2FA не помог: вскрыта масштабная фишинговая атака на ANY.RUN

2FA не помог: вскрыта масштабная фишинговая атака на ANY.RUN

Хакеры использовали 72 поддельных домена для обмана сотрудников.

image

Компания ANY.RUN недавно провела тщательное расследование фишинговой кампании, направленной на её сотрудников и решила поделиться важными выводами, чтобы помочь другим организациям защититься от подобных угроз.

В ходе расследования специалисты ANY.RUN выявили 72 фишинговых домена, имитирующих реальные или вымышленные компании. Эти домены вели на правдоподобные сайты, которые обманывали пользователей и заставляли их делиться своими учётными данными. Атака была хорошо спланирована, хакеры использовали передовые методы, включая прямое взаимодействие с жертвами.

Атака состояла из четырёх основных этапов:

  1. Взлом аккаунта реального клиента компании.
  2. Отправка фишингового письма от взломанного клиента сотруднику компании.
  3. Кража учётных данных сотрудника через фальшивый сайт.
  4. Распространение фишинговых писем уже от имени взломанного сотрудника.

Восстановим же точную хронологию событий рассмотренной атаки. 27 мая 2024 года сотрудник компании ANY.RUN получил письмо от клиента, которое содержало ссылку на якобы голосовое сообщение. Письмо выглядело профессионально и внушало доверие: знакомый домен, контактные данные отправителя, правильная грамматика и непринуждённый тон.

При переходе по ссылке из письма сотрудник попал на страницу входа в аккаунт Microsoft. Сайт выглядел как настоящий: действующий сертификат безопасности, отсутствие предупреждений браузера и оформление, идентичное оригиналу.

Тем не менее, сотрудник компании допустил сразу ряд ошибок, которые и привели к компрометации. Во-первых, он не обратил достаточного внимания на URL в адресной строке. Несмотря на правдоподобный вид, адрес не имел связи с отправителем письма, службами Microsoft или инфраструктурой компании. А во-вторых, сотрудник ввёл реальные учётные данные на фишинговом сайте, что, собственно, уже вытекло из его первой ошибки.

После ввода учётных данных и двухфакторного кода сотрудник был перенаправлен на сайт Outlook с сообщением об ошибке. Заподозрив неполадки, сотрудник связался с клиентом, попросив отправить сообщение в текстовом формате. Однако сам факт взлома остался незамеченным.

Спустя примерно полмесяца, 18 июня 2024 года с аккаунта взломанного сотрудника была произведена фишинговая рассылка его коллегам и клиентам. Эти письма отличались низким качеством: множество орфографических и грамматических ошибок, несоответствие имён отправителя и подписей. Весьма странно, учитывая первоначальное качественное письмо, на которое купился сотрудник.

Анализ URL в этих письмах, ведущих, как правило, на Dropbox, показал, что адрес содержал закодированные параметры для отслеживания и идентификации жертвы. Веб-скрипт на странице собирал информацию о пользователе и передавал её на сервер злоумышленников.

Команда безопасности ANY.RUN успешно отразила вторую волну атаки и, исходя из выявленных проблем в своей системе, исследователи поделились рекомендациями и замечаниями, чтобы другие компании смогли избежать подобного рода атак.

Среди неочевидного: двухфакторная аутентификация хоть и важна, но она не защищает от прокси-атак. Крайне важно тщательно сверять URL-адрес перед вводом своих учётных данных на любом сайте, даже если он выглядит как легитимный сайт. Кроме того, к любым подозрительным письмам, особенно содержащим вложения или ссылки, рекомендуется относится с максимальной осторожностью.

Безопасность в цифровом мире требует постоянной бдительности и критического мышления. Даже опытные профессионалы могут стать жертвами изощрённых атак, если пренебрегут базовыми правилами кибергигиены. Ключ к защите — это не только технические меры, но и развитие культуры безопасности, где каждый сотрудник осознает свою роль в защите организации и умеет распознавать угрозы, независимо от их источника или кажущейся достоверности.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь