Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

2FA не помог: вскрыта масштабная фишинговая атака на ANY.RUN

02/07/24

images (85)

Компания ANY.RUN недавно провела тщательное расследование фишинговой кампании, направленной на её сотрудников и решила поделиться важными выводами, чтобы помочь другим организациям защититься от подобных угроз.

В ходе расследования специалисты ANY.RUN выявили 72 фишинговых домена, имитирующих реальные или вымышленные компании. Эти домены вели на правдоподобные сайты, которые обманывали пользователей и заставляли их делиться своими учётными данными. Атака была хорошо спланирована, хакеры использовали передовые методы, включая прямое взаимодействие с жертвами, пишет Securitylab.

Атака состояла из четырёх основных этапов:

  1. Взлом аккаунта реального клиента компании.
  2. Отправка фишингового письма от взломанного клиента сотруднику компании.
  3. Кража учётных данных сотрудника через фальшивый сайт.
  4. Распространение фишинговых писем уже от имени взломанного сотрудника.

Восстановим же точную хронологию событий рассмотренной атаки. 27 мая 2024 года сотрудник компании ANY.RUN получил письмо от клиента, которое содержало ссылку на якобы голосовое сообщение. Письмо выглядело профессионально и внушало доверие: знакомый домен, контактные данные отправителя, правильная грамматика и непринуждённый тон.

При переходе по ссылке из письма сотрудник попал на страницу входа в аккаунт Microsoft. Сайт выглядел как настоящий: действующий сертификат безопасности, отсутствие предупреждений браузера и оформление, идентичное оригиналу.

Тем не менее, сотрудник компании допустил сразу ряд ошибок, которые и привели к компрометации. Во-первых, он не обратил достаточного внимания на URL в адресной строке. Несмотря на правдоподобный вид, адрес не имел связи с отправителем письма, службами Microsoft или инфраструктурой компании. А во-вторых, сотрудник ввёл реальные учётные данные на фишинговом сайте, что, собственно, уже вытекло из его первой ошибки.

После ввода учётных данных и двухфакторного кода сотрудник был перенаправлен на сайт Outlook с сообщением об ошибке. Заподозрив неполадки, сотрудник связался с клиентом, попросив отправить сообщение в текстовом формате. Однако сам факт взлома остался незамеченным.

Спустя примерно полмесяца, 18 июня 2024 года с аккаунта взломанного сотрудника была произведена фишинговая рассылка его коллегам и клиентам. Эти письма отличались низким качеством: множество орфографических и грамматических ошибок, несоответствие имён отправителя и подписей. Весьма странно, учитывая первоначальное качественное письмо, на которое купился сотрудник.

Анализ URL в этих письмах, ведущих, как правило, на Dropbox, показал, что адрес содержал закодированные параметры для отслеживания и идентификации жертвы. Веб-скрипт на странице собирал информацию о пользователе и передавал её на сервер злоумышленников.

Команда безопасности ANY.RUN успешно отразила вторую волну атаки и, исходя из выявленных проблем в своей системе, исследователи поделились рекомендациями и замечаниями, чтобы другие компании смогли избежать подобного рода атак.

Среди неочевидного: двухфакторная аутентификация хоть и важна, но она не защищает от прокси-атак. Крайне важно тщательно сверять URL-адрес перед вводом своих учётных данных на любом сайте, даже если он выглядит как легитимный сайт. Кроме того, к любым подозрительным письмам, особенно содержащим вложения или ссылки, рекомендуется относится с максимальной осторожностью.

Темы:ПреступленияфишингURL
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

  • Кто зарабатывает на вэйлинге в России?
    Алексей Гусев, старший советник председателя правления банка “ЦентроКредит”, преподаватель РТУ РУДН и НИЯУ МИФИ
    Вэйлинг – специализированный и таргетированный вариант привычного фишинга, нацеленный на VIP-клиентов, относится к не столь распространенному и потому редко упоминаемому виду. Однако в последнее время хакеры начинают обращать на него внимание, а его методики используются в качестве базы для более сложного таргетированного фишинга.
  • 5 атак нового поколения, актуальных в 2023 году
    Александра Соколова, редактор Cloud Networks
    Технологии развиваются беспрецедентными темпами, и, как следствие, растет арсенал инструментов, доступных киберпреступникам для проведения сложных атак.
  • Своя атмосфера: что давно пора сделать для защиты электронной почты
    Илья Померанцев, продуктовый аналитик департамента сетевой безопасности Group-IB
    Рассмотрим три реальные атаки через корпоративную почту, обнаруженные и остановленные нашей системой Group-IB Threat Hunting Framework
  • Примеры фишинга через электронную почту: Как распознать фишинговое письмо
    Антон Тихонов, Технический менеджер направления McAfee
    Готовая инструкция, как распознать фишинговое письмо: простые советы

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...