Hakerzy projektując swoje ataki phishingowe potrafią doskonale podszywać się pod osoby prywatne lub firmy, aby ominąć filtry bezpieczeństwa i dotrzeć do sieci korporacyjnych – ostrzegają specjaliści z Check Pointa. Jedna z najbardziej imponujących kampanii phishingowych ostatnich miesięcy obejmowała m.in. przejęcie serwerów Uniwersytetu w Oksfordzie oraz wykorzystanie domeny Samsunga.
W kampanii wymierzonej przeciw firmom z Europy (43%), Bliskiego Wschodu i Azji, hakerzy przejęli serwer pocztowy Uniwersytetu Oksfordzkiego, aby wysyłać złośliwe wiadomości e-mail do ofiar, które zawierały linki przekierowujące na serwer Adobe używany wcześniej przez Samsunga. Nagłówki wiadomości pokazują, że hakerzy znaleźli sposób na przejęcie jednego z oksfordzkiego serwera SMTP. Korzystanie z uniwersyteckich serwerów SMTP pozwoliło hakerom przejść tzw. „kontrolę reputacji” wymaganą przez środki bezpieczeństwa firm.
W ciągu ostatniego roku kampanie phishingowe korzystały m.in. z otwartych przekierowań Google i Adobe w celu zwiększenia wiarygodności adresów URL używanych w wiadomościach spamowych. Otwarte przekierowanie to adres URL witryny, który może być wykorzystywany przez każdego do przekierowywania użytkowników do innej witryny. W ten sposób ofiara ataku nie jest w stanie rozpoznać po adresie linku, że klika w niesprawdzone czy niepewne źródło.
W przypadku ataku na infrastrukturę Uniwersytetu Oksfordzkiego linki w wiadomościach e-mail przekierowały do serwera Adobe, z którego wcześniej korzystał Samsung podczas kampanii marketingowej w 2018 r. Innymi słowy, link osadzony w oryginalnej wiadomości phishingowej był częścią zaufanej domeny Samsunga – takiej, która niestety przekierowywała nieświadome ofiary na stronę hostowaną przez hakerów. Korzystając z określonego formatu linku kampanii Adobe oraz ich legalnej domeny, osoby atakujące zwiększyły szansę na ominięcie rozwiązań zabezpieczeń poczty e-mail opartych na reputacji czy czarnych listach.
– To, co na początku wydawało się klasyczną kampanią phishingową Office 365, okazało się mistrzostwem w oszustwie, dzięki wykorzystaniu znanych i renomowanych marek w celu uniknięcia zabezpieczeń drodze do ofiar. Dostęp do firmowej poczty mógł pozwolić hakerom na nieograniczoną eksplorację transakcji czy raportów finansowych; umożliwiał wysyłanie wiadomości e-mail z wiarygodnych źródeł, przejmowanie haseł, a nawet zasobów firmy w chmurze. Aby przeprowadzić swój atak, haker musiał zdobyć dostęp do serwerów Samsunga i Oxfordu, co oznacza, że miał czas na zrozumienie ich wewnętrznego działania, które pozwoliły mu pozostać niezauważonym. – mówi Lotem Finkelsteen, menedżer wywiadu zagrożeń w Check Point.
Check Point o swoich odkryciach poinformował Uniwersytet Oksfordzki, Adobe oraz Samsunga.
https://itreseller.com.pl/itrnewaction-s-a-opublikowal-zgodne-z-prognoza-wyniki-za-i-kw-br-ktore-tylko-potwierdzaja-ze-zdobyte-doswiadczenie-przelozylo-sie-do-wzmocnienia-biznesu-w-okresie-pandemii-partnerzy-deklaruja-wspolprac/
