Анализаторите на заплахи са разкрили сложна фишинг атака, имитираща имейли от Salesforce, която вероятно заобикаля много филтри за бизнес имейли.
Според ново проучване фишинг атаките, при които се използват фалшиви домейни на Salesforce, са се увеличили със 109% от началото на 2024 г.
Новата тактика включва представянето на легитимен домейн на Salesforce, за да се изпратят жертвите към подправена версия на партньорски портал на Meta, която е в състояние да открадне потребителските данни.
Според изследователи от компанията за софтуер за сигурност Egress зловредният полезен товар, използван от заплахата, не е бил идентифициран от нито един от антивирусните скенери и услугите за блокиране на URL адреси на VirustTotal.
Заплахите са успели да се представят за автентичен домейн на Salesforce, като са компрометирали предприятие, използващо продукти на Salesforce, и след това са стартирали атаката чрез легитимните сървъри на Salesforce, сочи анализът на екипа за разузнаване на заплахите на Egress.
Атаката се възползва от популярността на решенията на Salesforce, които се използват от над 150 000 организации в цял свят. Домейните на Salesforce вероятно са включени в списъка на „доверените податели“ в много организации и по този начин, независимо от съдържанието на съобщението, то гарантирано ще достигне до пощенската кутия на получателя.
Атаката включва и замаскиране на злонамерен URL адрес чрез използване на легитимната услуга за уведомяване на Google, за да се пренасочат потребителите към злонамерен сайт.
За разлика от други популярни подходи, използвани във фишинг кампаниите, като например използване на легитимен сайт за разполагане на зловреден полезен товар или използване на легитимна връзка за прикриване на крайната дестинация, при тази атака се използва легитимна услуга за пренасочване на потребителите към зловреден сайт.
Служителите, които бързо проверяват хипервръзката, могат да бъдат заблудени, когато прочетат „notification.google“ в началото на URL адреса. Тези връзки не могат да бъдат масово блокирани от списъците за блокиране поради легитимното им използване на други места.
Антифишинг технологиите, базирани на подписи, също не могат да идентифицират имейлите като злонамерени, тъй като Egress установи, че имейлът е преминал и трите метода за удостоверяване SPF, DKIM и DMARC.
След като бъде пренасочена към подправената партньорска страница на Meta, всяка информация, въведена в портала за влизане, се изпраща като обикновен текст към сървър за управление и контрол, свързан със злонамерения URL адрес.
Докладът на Egress за сигурността на електронната поща за 2024 г. установи, че 94% от организациите са станали жертва на фишинг атаки, като 79% от атаките за превземане на акаунти започват с фишинг имейл.
Широкото разпространение на изкуствения интелект сред заплахите също е ключов фактор за подобряване на ефикасността и ефективността на фишинг атаките, което ги прави по-реалистични и по-бързи за осъществяване.
Според доклада офанзивното използване на ИИ е на преден план за лидерите в областта на киберсигурността, като над 60 % от тях твърдят, че използването на дълбоки фалшификати и чатботове с ИИ в рамките на атаките ги кара да не спят през нощта.
ИИ обаче има и отбранителен потенциал, като предприятията проучват възможността за използване на генеративен ИИ за изучаване на стила на писане на служителите на организацията, който след това е в състояние да открие подозрителна дейност, включително несъответстващ текст в имейл.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
