Näyttelijät uudistavat tietojenkalastelukampanjan materiaaleja, jotta he joutuisivat useammille valtion urakoitsijoiden uhreille Microsoft 365:n avulla

Joukko pahantahtoisia toimijoita on tasoittanut tietojenkalastelukampanjoitaan huijatakseen valtavia yrityksiä (erityisesti energia-, asiantuntijapalvelu- ja rakennusalan yrityksiä) jättämään tietonsa. Microsoft Office 365 tunnukset. Tietojenkalastelun havaitsemis- ja vastausratkaisuyrityksen raportin mukaan suojaa, kampanjaoperaattorit tekivät parannuksia vieheelementtiensä prosessiin ja suunnitteluun ja naamioituvat nyt muiksi Yhdysvaltain valtion virastoiksi, kuten liikenne-, kauppa- ja työministeriöiksi.

"Uhkatoimijat harjoittavat sarjaa kampanjoita, joissa huijataan useita Yhdysvaltain hallituksen osastoja", Cofense sanoi. "Sähköpostit väittävät, että ne pyytävät tarjouksia valtion projekteista, mutta ohjaavat uhrit sen sijaan tunnistetietojen kalastelusivuille. Nämä kampanjat ovat jatkuneet ainakin vuoden 2019 puolivälistä, ja ne käsiteltiin ensimmäisen kerran Flash Alertissamme heinäkuussa 2019. Nämä edistyneet kampanjat ovat hyvin suunniteltuja, niitä on nähty suojatuilla sähköpostiyhdyskäytävällä (SEG) suojatuissa ympäristöissä, ne ovat erittäin vakuuttavia ja näyttävät näyttäviltä. kohdistettavaksi. Ne ovat kehittyneet ajan myötä parantamalla sähköpostin sisältöä, PDF-sisältöä sekä tunnistetietojen kalastelusivujen ulkoasua ja toimintaa."

Cofense näytti sarjan kuvakaappauksia, joissa verrattiin hyökkääjien käyttämää aikaisempaa ja nykyistä materiaalia. Ensimmäiset parannukset saavat sähköpostit ja PDF-tiedostot, joita nyt muokataan näyttämään aidommilta. "Varhaisissa sähköpostiviesteissä oli yksinkertaisempia sähköpostin runkoja ilman logoja ja suhteellisen yksinkertaista kieltä", Cofense lisäsi. ”Uudemmissa sähköpostiviesteissä käytettiin logoja, allekirjoituslohkoja, yhtenäistä muotoilua ja tarkempia ohjeita. Viimeaikaiset sähköpostit sisältävät myös linkkejä PDF-tiedostojen käyttämiseen sen sijaan, että ne liitettäisiin suoraan."

Toisaalta uhrien epäilyjen estämiseksi uhkatoimijat tekivät myös muutoksia tunnistetietojen kalastelusivulle kirjautumisprosessista suunnitteluun ja teemoihin. Sivujen URL-osoitteet on myös tarkoitus muuttaa pidemmiksi (esim. Transportation[.]gov[.]bidprocure[.]secure[.]akjackpot[.]com), joten kohteet näkevät vain .gov-osan pienemmässä selaimessa. ikkunat. Lisäksi kampanja sisältää nyt captcha-vaatimukset ja muita ohjeita, jotka tekevät prosessista uskottavamman.

Tällaisissa kampanjoissa tehdyt tarkennukset tekevät oikeiden verkkosivujen ja asiakirjojen erottamisesta huijauskohteille haastavampaa varsinkin nyt, kun toimijat käyttävät päivitettyä tietoa, joka on kopioitu alkuperäisistä lähteistä. Siitä huolimatta Cofense korosti, että on edelleen keinoja estää näiden tekojen uhriksi joutumista. Pienten yksityiskohtien (esim. väärä päivämäärä sivuilla ja epäilyttävät URL-osoitteet) havaitsemisen lisäksi kaikkien vastaanottajien on aina oltava varovaisia ​​napsauttaessaan linkkejä, ei vain sähköpostiin upotettuja, vaan myös liitetiedostoja.