New phishing and business email compromise campaigns increase in complexity, bypass MFA
Microsoft द्वारा बताए गए BEC अभियान के साथ संयुक्त एक नए AiTM फ़िशिंग हमले के बारे में तकनीकी विवरण पढ़ें, और जानें कि इस खतरे को कैसे कम किया जाए।
Microsoft डिफेंडर विशेषज्ञों की एक रिपोर्ट बैंकिंग और वित्तीय संस्थानों को लक्षित करने वाले एक व्यापार ईमेल समझौता हमले के साथ संयुक्त फ़िशिंग हमले में एक नए बहु-मंचीय विरोधी का खुलासा करती है। जटिल हमला वित्तीय लेनदेन में शामिल विक्रेताओं, आपूर्तिकर्ताओं और अधिक संगठनों के बीच भरोसेमंद संबंधों का दुरुपयोग करता है।
करने के लिए कूद:
पहला चरण: एआईटीएम फिशिंग हमला शुरू करना
एआईटीएम हमले ऐसे ऑपरेशन हैं जिनमें एक बुरा अभिनेता संवेदनशील या वित्तीय जानकारी, जैसे लॉग-इन क्रेडेंशियल्स और क्रेडिट कार्ड डेटा चोरी करने के लिए दो पक्षों, आम तौर पर एक उपयोगकर्ता और एक वैध प्रमाणीकरण सेवा के बीच संचार को रोकता है और संशोधित करता है। इसका उपयोग उपयोगकर्ताओं के सत्र कुकीज़ को चुराकर बहु-कारक प्रमाणीकरण को बायपास करने के लिए भी किया जा सकता है।
जबकि पिछले AiTM हमलों में आम तौर पर उपयोगकर्ता और प्रमाणीकरण सेवा के बीच ट्रैफ़िक को संभालने के लिए रिवर्स प्रॉक्सी तकनीकों का उपयोग किया जाता था, इस बार हमलावरों ने एक अप्रत्यक्ष प्रॉक्सी विधि का उपयोग किया। यह तकनीक थोड़ी अलग है क्योंकि हमलावर फ़िशिंग वेबसाइट से सीधे सब कुछ नियंत्रित करता है जो लक्षित सेवा के साइन-इन पृष्ठ की नकल करता है। वेबसाइट लक्ष्य के साथ प्रमाणीकरण अनुरोधों सहित सभी संचार को संसाधित करती है।
उपयोगकर्ता को फ़िशिंग पृष्ठ पर जाने के लिए लुभाया जाता है, अपनी साख दर्ज करता है और अतिरिक्त MFA प्रमाणीकरण भरता है, जो सीधे हमलावरों से आने वाला एक नकली MFA अनुरोध है। पृष्ठभूमि में और सीधे फ़िशिंग सर्वर से, हमलावर लक्षित सेवा के साथ संचार शुरू करता है और वैध उपयोगकर्ताओं की साख और फिर एमएफए जानकारी दर्ज करता है। उपयोगकर्ता को उस समय दूसरे पृष्ठ पर पुनर्निर्देशित किया जा रहा है, जबकि हमलावर को उपयोगकर्ता का प्रतिरूपण करने वाली एक वैध सत्र कुकी प्राप्त होती है (चित्रा ए).
चित्रा ए
Microsoft द्वारा रिपोर्ट किए गए हमले और स्टॉर्म-1167 नामक एक खतरनाक अभिनेता द्वारा चलाए जा रहे हमले में, पीड़ित को ईमेल के माध्यम से AiTM लिंक भेजा जाता है। फ़िशिंग ईमेल अधिक वैध दिखने के लिए लक्ष्य के विश्वसनीय विक्रेताओं में से एक का प्रतिरूपण करता है और वैध ईमेल ट्रैफ़िक और बायपास डिटेक्शन के साथ मिश्रण करता है, खासकर जब किसी संगठन की नीतियां विश्वसनीय विक्रेताओं से ईमेल को स्वचालित रूप से अनुमति देने के लिए होती हैं।
माइक्रोसॉफ्ट के उदाहरण में, धमकी देने वाले ने कैनवा के वैध ग्राफिक डिजाइन प्लेटफॉर्म का दुरुपयोग किया ताकि एक नकली वनड्राइव दस्तावेज़ दिखाने वाले पेज को होस्ट किया जा सके जो फ़िशिंग यूआरएल (चित्रा बी).
चित्रा बी
चरण दो: उपयोगकर्ता के खाते को संशोधित करना
एक बार हमलावर के पास एक वैध सत्र कुकी होने के बाद, उन्होंने क्लाउड में होस्ट किए गए ईमेल वार्तालापों और दस्तावेज़ों तक पहुंचना शुरू कर दिया और चोरी हुए सत्र का अधिक समय तक उपयोग करने के लिए एक नया एक्सेस टोकन उत्पन्न किया।
फिर, स्टॉर्म-1167 समूह ने भविष्य में उपयोग के लिए चुराए गए उपयोगकर्ता के खाते में एक नई एमएफए विधि जोड़ी – एक बार फिर पर्यावरण में लंबे समय तक रहने के लिए अपनी चिंताओं को दिखाया। चूंकि एक नई एमएफए विधि जोड़ने के लिए पुन: प्रमाणीकरण की आवश्यकता नहीं होती है, हमलावरों ने चुपचाप वनवेएसएमएस, एक एसएमएस-आधारित वन-टाइम पासवर्ड प्रमाणीकरण सेवा को जोड़ा।
इस स्तर पर हमलावर के लिए अंतिम चरण उपयोगकर्ता के मेलबॉक्स पर आने वाले सभी ईमेल को उसके संग्रह फ़ोल्डर में ले जाने और सभी ईमेल को पढ़े गए के रूप में चिह्नित करने के लिए नए इनबॉक्स नियम बनाना था।
स्टेज तीन: बीईसी अभियान शुरू होता है
इसके बाद, हमलावर – लक्ष्य के मेलबॉक्स के पूर्ण नियंत्रण में – उपयोगकर्ता के संपर्कों और वितरण सूचियों पर ध्यान केंद्रित करते हुए 16,000 से अधिक ईमेल का एक विशाल फ़िशिंग अभियान शुरू किया, जो सभी उपयोगकर्ता के मेलबॉक्स से पिछले ईमेल थ्रेड्स में पहचाने गए थे।
फ़िशिंग ईमेल भेजे जाने के बाद, हमलावर ने मेलबॉक्स की निगरानी की और प्राप्तकर्ताओं को जवाब दिया, जिन्होंने फ़िशिंग ईमेल के बारे में संदेह के साथ उत्तर दिया, यह गलत पुष्टि करने के लिए कि ईमेल वैध था। अवितरित और कार्यालय से बाहर के उत्तरों को हटा दिया गया।
इस पूरी गतिविधि ने हमलावर को विभिन्न संगठनों में अधिक वैध ईमेल खाते एकत्र करने और बीईसी धोखाधड़ी (चित्रा सी).
चित्रा सी
जबकि Microsoft खतरे वाले अभिनेता से BEC धोखाधड़ी की व्याख्या करने में आगे नहीं बढ़ता है, इस बिंदु पर यह उम्मीद की जाती है कि अभिनेता नियमित धन हस्तांतरण संचालन में शामिल लोगों में से एक को प्रतिरूपित करेगा ताकि पीड़ित को साइबर अपराधी के स्वामित्व वाली बैंकिंग में पैसा भेजा जा सके। खाता।
इस साइबर सुरक्षा खतरे से कैसे सुरक्षित रहें
चूंकि प्रारंभिक हमला वेक्टर एक फ़िशिंग ईमेल है, इसलिए मेलबॉक्स सुरक्षा समाधानों को तैनात करना आवश्यक है जो फ़िशिंग प्रयासों का पता लगा सकते हैं और कंपनी के बाहर से आने वाले ईमेल पर अलर्ट बढ़ा सकते हैं जब वे संदिग्ध व्यवहार पैटर्न का पालन करते हैं।
ईमेल बॉक्स कॉन्फ़िगरेशन परिवर्तनों की भी सावधानीपूर्वक निगरानी की जानी चाहिए। ईमेल बॉक्स अचानक बड़ी संख्या में ईमेल भेजना शुरू कर देते हैं या अचानक बहुत सारे ईमेल किसी अन्य ईमेल पते पर अग्रेषित करने से अलर्ट बढ़ जाना चाहिए और सावधानीपूर्वक विश्लेषण किया जाना चाहिए।
जब संभव हो, उदाहरण के लिए कॉर्पोरेट वर्चुअल प्राइवेट नेटवर्क के माध्यम से ईमेल का उपयोग विश्वसनीय आईपी पतों तक सीमित होना चाहिए; एमएफए को उन सेवाओं पर तैनात किया जाना चाहिए। यदि इस तरह के प्रतिबंधों को लागू नहीं किया जा सकता है, तो विसंगतियों को दर्शाने वाले किसी भी प्रयास का पता लगाने के लिए प्रत्येक साइन-इन ऑपरेशन की सावधानीपूर्वक निगरानी की जानी चाहिए।
देखना: 2023 में छोटे व्यवसायों के लिए सर्वश्रेष्ठ वीपीएन (टेक रिपब्लिक)
उपयोगकर्ताओं की प्रोफाइलिंग को सक्षम करने वाले सुरक्षा समाधानों को लागू करने की भी सिफारिश की जाती है। किसी उपयोगकर्ता के साइन-इन ऑपरेशन की कोई भी असामान्य विशेषता अलर्ट देगी और ऐसे समाधानों के साथ इसका विश्लेषण किया जा सकता है।
जहां तक बीईसी धोखाधड़ी की बात है, पैसों के लेन-देन में किसी भी तरह के बदलाव की सावधानी से जांच की जानी चाहिए। यदि कोई विश्वसनीय भागीदार अचानक एक वायर ट्रांसफर गंतव्य को बदलने के लिए कहता है, तो उस भागीदार के साथ अनुरोध की जांच ईमेल के अलावा किसी अन्य संचार चैनल के माध्यम से की जानी चाहिए, और अधिमानतः कंप्यूटर का उपयोग नहीं करना चाहिए – शायद इसके बजाय फोन – अगर हमलावर ने लक्ष्य के कंप्यूटर पर मैलवेयर लगाया और सभी संचारों को बाधित कर सकता है।
प्रकटीकरण: मैं ट्रेंड माइक्रो के लिए काम करता हूं, लेकिन इस लेख में व्यक्त किए गए विचार मेरे हैं।
