Хакеры использовали 72 поддельных домена для обмана сотрудников.
Компания ANY.RUN недавно провела тщательное расследование фишинговой кампании, направленной на её сотрудников и решила поделиться важными выводами, чтобы помочь другим организациям защититься от подобных угроз.
В ходе расследования специалисты ANY.RUN выявили 72 фишинговых домена, имитирующих реальные или вымышленные компании. Эти домены вели на правдоподобные сайты, которые обманывали пользователей и заставляли их делиться своими учётными данными. Атака была хорошо спланирована, хакеры использовали передовые методы, включая прямое взаимодействие с жертвами.
Атака состояла из четырёх основных этапов:
Восстановим же точную хронологию событий рассмотренной атаки. 27 мая 2024 года сотрудник компании ANY.RUN получил письмо от клиента, которое содержало ссылку на якобы голосовое сообщение. Письмо выглядело профессионально и внушало доверие: знакомый домен, контактные данные отправителя, правильная грамматика и непринуждённый тон.
При переходе по ссылке из письма сотрудник попал на страницу входа в аккаунт Microsoft. Сайт выглядел как настоящий: действующий сертификат безопасности, отсутствие предупреждений браузера и оформление, идентичное оригиналу.
Тем не менее, сотрудник компании допустил сразу ряд ошибок, которые и привели к компрометации. Во-первых, он не обратил достаточного внимания на URL в адресной строке. Несмотря на правдоподобный вид, адрес не имел связи с отправителем письма, службами Microsoft или инфраструктурой компании. А во-вторых, сотрудник ввёл реальные учётные данные на фишинговом сайте, что, собственно, уже вытекло из его первой ошибки.
После ввода учётных данных и двухфакторного кода сотрудник был перенаправлен на сайт Outlook с сообщением об ошибке. Заподозрив неполадки, сотрудник связался с клиентом, попросив отправить сообщение в текстовом формате. Однако сам факт взлома остался незамеченным.
Спустя примерно полмесяца, 18 июня 2024 года с аккаунта взломанного сотрудника была произведена фишинговая рассылка его коллегам и клиентам. Эти письма отличались низким качеством: множество орфографических и грамматических ошибок, несоответствие имён отправителя и подписей. Весьма странно, учитывая первоначальное качественное письмо, на которое купился сотрудник.
Анализ URL в этих письмах, ведущих, как правило, на Dropbox, показал, что адрес содержал закодированные параметры для отслеживания и идентификации жертвы. Веб-скрипт на странице собирал информацию о пользователе и передавал её на сервер злоумышленников.
Команда безопасности ANY.RUN успешно отразила вторую волну атаки и, исходя из выявленных проблем в своей системе, исследователи поделились рекомендациями и замечаниями, чтобы другие компании смогли избежать подобного рода атак.
Среди неочевидного: двухфакторная аутентификация хоть и важна, но она не защищает от прокси-атак. Крайне важно тщательно сверять URL-адрес перед вводом своих учётных данных на любом сайте, даже если он выглядит как легитимный сайт. Кроме того, к любым подозрительным письмам, особенно содержащим вложения или ссылки, рекомендуется относится с максимальной осторожностью.
Безопасность в цифровом мире требует постоянной бдительности и критического мышления. Даже опытные профессионалы могут стать жертвами изощрённых атак, если пренебрегут базовыми правилами кибергигиены. Ключ к защите — это не только технические меры, но и развитие культуры безопасности, где каждый сотрудник осознает свою роль в защите организации и умеет распознавать угрозы, независимо от их источника или кажущейся достоверности.
Одно найти легче, чем другое. Спойлер: это не темная материя