Actorii de phishing folosesc acum o nouă tactică de evitare numită ‘Phishing Validat cu Precizie’ care afișează doar formulare de conectare false atunci când un utilizator introduce o adresă de email specifică țintită de actorii de amenințare.
Spre deosebire de phishingul tradițional de tip masă, această nouă metodă utilizează validarea emailului în timp real pentru a se asigura că conținutul de phishing este afișat doar utilizatorilor pre-verificați, considerați de mare valoare.
Deși nu este extrem de avansată sau deosebit de sofisticată, noua tactică exclude toți utilizatorii nevalizi din procesul de phishing, blocând astfel vizibilitatea acestora asupra operațiunii.
Firma de securitate email Cofense, care a documentat creșterea adoptării acestei noi tactici, a remarcat că aceasta le-a creat o problemă semnificativă din punct de vedere practic.
Când cercetează site-urile de phishing, este obișnuit ca cercetătorii să introducă adrese de email false sau sub controlul lor pentru a cartografia campania de furt de credențiale.
Cu toate acestea, cu această nouă tehnică, adresele de email invalide sau de test introduse de cercetători afișează acum o eroare sau îi redirecționează către site-uri inofensive. Acest lucru afectează crawlerii de securitate automatizați și sandbox-urile folosite în cercetare, reducând ratele de detectare și prelungind durata de viață a operațiunilor de phishing.
‘Echipele de cibernetică se bazează tradițional pe analiza controlată a phishingului prin trimiterea de credențiale false pentru a observa comportamentul atacatorului și infrastructura’, explică Cofense.
‘Cu phishingul validat cu precizie, aceste tactici devin ineficiente deoarece orice email necunoscut este respins înainte ca conținutul de phishing să fie livrat.’
Potrivit Cofense, actorii de amenințare folosesc două tehnici principale pentru a realiza validarea emailului în timp real.
Prima implică abuzarea serviciilor de verificare a emailului de la terți integrate în kitul de phishing, care verifică validitatea adresei victimei în timp real prin apeluri API.
A doua metodă este să implementeze JavaScript personalizat în pagina de phishing, care trimite un ping către serverul atacatorului cu adresa de email pe care o introduc victimele pe pagina de phishing pentru a confirma dacă aceasta se regăsește în lista pre-recoltată.
Dacă nu există o potrivire, victima este redirecționată către un site inofensiv, precum Wikipedia.
Cofense explică că trecerea peste acest lucru prin simpla introducere a adresei de email a persoanei care le-a raportat încercarea de phishing este adesea imposibilă din cauza restricțiilor de utilizare impuse de clienții lor.
Chiar dacă li s-ar permite să folosească adresa reală a țintei, analiștii comentează că unele campanii merg un pas mai departe, trimitând un cod de validare sau un link în inboxul victimei după ce aceasta introduce un email valid pe pagina de phishing.
Pentru a proceda cu procesul de phishing, victimele trebuie să introducă codul primit în inboxul lor, ceea ce depășește accesul analiștilor de securitate.
Ramificațiile acestui fapt sunt serioase pentru instrumentele de securitate email, în special cele care se bazează pe metodele tradiționale de detectare, deoarece au mai multe șanse să nu alerteze țintele despre încercările de phishing.
Pe măsură ce campaniile de phishing adoptă validarea dinamică a intrărilor, apărătorii trebuie să adopte noi strategii de detectare care pun accent pe identificarea comportamentală și corelarea inteligentă a amenințărilor în timp real pentru a rămâne înaintea actorilor de amenințare.
Pe baza unei analize a 14M de acțiuni malitioase, descoperiți cele mai bune 10 tehnici MITRE ATT&CK din spatele a 93% din atacuri și cum să vă apărați împotriva lor.
Atacul de phishing ascunde JavaScript folosind o metodă invizibilă Unicode
Google rezolvă o defecțiune care ar putea dezvălui adresele de email ale utilizatorilor YouTube
EncryptHub încalcă 618 organizații pentru a implementa infostealers, ransomware
Mesajele de plată a taxei E-ZPass revin într-un val masiv de phishing
Campania de phishing PoisonSeed din spatele emailurilor cu fraze de cod seed pentru portofel
Leave a Reply