Uusi WeTransfer-phishing Attack huijaa tiedostojen jakamista valtuustietojen varastamiseksi
Armorbloxin raportti väitti, että kyberrikolliset ovat löytäneet tiensä WeTransfer-isännöintijärjestelmään ja suorittavat nyt useita tietojenkalasteluhyökkäyksiä. Näissä hyökkäyksissä huijaussähköposti johtaa kloonatulle sivulle, jossa on Microsoft Excel -brändäys, jonka tarkoituksena on noutaa näiden hyökkäyksien uhreiksi joutuneiden ihmisten Office 365 -sähköpostitunnisteet.
Tiedoksi, WeTransfer on tiedostonjakopalvelu, jota käytetään siirtämään tiedostoja, jotka ovat liian suuria lähetettäväksi sähköpostitse.
Armorblox WeTransfer-phishing-hyökkäysten yli
Tietojenkalasteluviesti näyttää uskomattoman aidolta ja voi pettää jopa tavallisen WeTransfer-käyttäjän milloin tahansa. Siinä on tiedostojen lähettäjän nimi sekä vaihtoehto "Näytä WeTransferin kautta lähetetyt tiedostot".
Sähköpostin runko sisältää lisäksi useita viittauksia organisaatioon, joten sähköpostin vastaanottaja ei kyseenalaista sen laillisuutta. Se paljastaa lisäksi kaksi lähetettyä linkkiä ja linkin näiden tiedostojen katseluun. Kun hyökkäyksen uhri napsauttaa linkkiä, se johtaa Microsoft Excelin tietojenkalastelusivulle.
Microsoft Excel -sivulla näkyy sumennettu laskentataulukko takana ja edessä lomake, joka edellyttää uhrin kirjautumista. Lomake sisältää jo uhrin sähköpostiosoitteen, mikä vahvistaa sen laillisuutta joka vaiheessa.
Kuvan lähde: Armorblox
Kaikki nämä sähköpostit lähettävän verkkotunnuksen tiedetään olevan japanilainen verkkopalvelu nimeltä "valueserver[.]jp", joka oli aiemmin mukana toisessa tietojenkalasteluhyökkäystapauksessa viime vuonna, kuten Infosecin analyytikko Laur Telliskivi raportoi.
Mitä tekniikoita hyökkäyksessä käytetään?
Hyökkäyksissä on käytetty useita tekniikoita uhrien houkuttelemiseksi ja tavanomaisten sähköpostien suojaussuodattimien ohittamiseksi. Yksi näistä on sosiaalinen manipulointi, joka luo kiirettä ja luottamusta uhriin lähettämällä sähköpostin otsikon, lähettäjän nimen ja sähköpostin sisällön.
Toinen hyökkäyksessä käytetty tekniikka, joka on mainitsemisen arvoinen, on brändin matkiminen. Tietojenkalasteluviestin HTML-koodi on poikkeuksellisen samanlainen kuin WeTransfer, ja tietojenkalastelusivu on suunniteltu näyttämään täsmälleen Microsoft Excelin varsinaisen kirjautumissivun kaltaiselta. Ainoa hämärä asia, joka erottaa ne toisistaan, on kuitenkin se, että Microsoft kirjoitetaan tietojenkalastelusivulla nimellä "MicroSoft".
Lopuksi kuinka suojata tietosi tietojenkalastelupostihuijareilta
Tietojenkalasteluhyökkäykset todennäköisesti lisääntyvät tulevaisuudessa. Tässä on muutamia vinkkejä suojautuaksesi tietojenkalastelulta:
- Lue jokainen sähköposti huolellisesti ja etsi pieniä epäjohdonmukaisuuksia, kuten lähettäjän nimi, verkkotunnus, sähköpostiosoite ja paljon muuta.
- Tarkista huolellisesti sähköpostissa käytetty kieli.
- Ota käyttöön monitekijätodennus (MFA) kaikille yritys- ja henkilötileille.
- Käytä eri salasanaa kaikille tileille.
- Ota virustorjunta käyttöön VPN :llä lisätäksesi salauksen kaikissa laitteissa.