LayerX Labs identificirao je novu zero-day phishing kampanju koja oponaša Microsoftove sigurnosne obavijesti kako bi namamila žrtve da podijele svoje vjerodajnice za prijavu i podatke o plaćanju. 

Napad oponaša sigurnosno upozorenje Microsoft Windows Defendera, pozivajući korisnike da nazovu telefonsku liniju, unesu svoje vjerodajnice i uplate pozivnom centru kako bi 'osigurali' svoje računalo. 

Ovaj napad uspio je prodrijeti u tradicionalne mrežne sigurnosne mehanizme kao što su Secure Web Gateways (SWG) i Security Service Edge (SSE) rješenja jer koristi niz tehnika izbjegavanja osmišljenih posebno za izbjegavanje tradicionalnih sigurnosnih alata

U ovom blogu podijelit ćemo pojedinosti ovog incidenta, objasniti što ga čini jedinstvenim, objasniti zašto je prošao kroz tradicionalne sigurnosne mehanizme i kako možete zaštititi sebe (i svoju organizaciju) od sličnih pokušaja.

 

Incident: Microsoftova prijevara s upozorenjem

Ovaj napad identificiran je u okruženju jednog od velikih poslovnih korisnika LayerX-a, gdje je zaobišao nekoliko slojeva mrežnih sigurnosnih kontrola, ali ga je LayerX automatski blokirao prije nego što je mogao naštetiti.

Napad koristi jednostavnu, ali učinkovitu strategiju — web-stranicu nalik upozorenju Microsoft Windows Defendera koje tvrdi da je njihovo računalo zaraženo zlonamjernim softverom.

U poruci se tvrdi da je korisnikov uređaj zaražen zlonamjernim softverom, pozivajući ih da nazovu broj podrške za hitnu pomoć.

Korisnicima koji su pokušali napustiti stranicu prikazana je poruka u kojoj se tvrdi da je njihov uređaj zaključan, što od njih zahtijeva da unesu svoje vjerodajnice za prijavu. 

U nekim slučajevima koje smo testirali, kod stranice uspio je uzrokovati zamrzavanje web-preglednika, oponašajući sigurnosnu blokadu Microsofta i ponovno ih pozivajući da nazovu lažni broj sigurnosne linije za pomoć.

Ova vrsta društvenog inženjeringa lovi se na hitnosti i tjeskobi korisnika koji ništa ne sumnjaju. Simuliranjem hitne sigurnosne situacije, napadači potiču korisnike da djeluju odmah kako ne bi odvojili vrijeme za pažljivo proučavanje upozorenja.

Višestruki slojevi rizika

Napadači obično koriste taktike krađe identiteta kako bi prevarili korisnike da dijele informacije ili omoguće pristup sustavima. Bez naprednog otkrivanja, korisnici bi mogli biti izloženi napadu, izlažući ih opasnosti od:

  • Pozivanje navedenog telefonskog broja, gdje bi ih napadači mogli manipulirati tako da plate otkupninu ili daju udaljeni pristup njihovim sustavima.
  • Unos njihovih vjerodajnica na phishing stranicu, koje bi napadači mogli ukrasti i koristiti za preuzimanje računa.
  • Njihovi korisnički podaci iskorištavaju se za sofisticiranije napade ili se prodaju na mračnom webu.

Zašto konvencionalna obrana nije uspjela

Mnoge organizacije koriste rješenje Secure Web Gateway (SWG) za rješavanje prijetnji pregledavanja i phishing napada. Bez obzira na to, ovaj napad je otkriven kod korisnika LayerX-a, gdje je ovaj napad zaobišao SWG organizacije. To je zato što se obrana mrežnog sloja kao što su SWG i pristupnici e-pošte obično oslanjaju na dvije primarne metode: 

  • Popisi blokiranih poznatih zlonamjernih URL-ova
  • Potpisi poznatih stranica za krađu identiteta

Ovaj napad je uspio zaobići oba iz sljedećih razloga:

1. Legitimna domena hostinga

Napadači su svoju stranicu za krađu identiteta smjestili na legitimnu Microsoftovu hosting domenu: windows[.]net. 

Windows[.]net je Microsoftova platforma za programere koji ugošćuju .net i Azure web aplikacije. To znači da se stranica za krađu identiteta nalazila na Microsoftovoj vlastitoj infrastrukturi. Kao rezultat toga, stranica je uživala visoku reputaciju domene najviše razine (TLD).

To je vanjskom promatraču učinilo da izgleda kao legitimna Microsoftova stranica i omogućilo joj je da zaobiđe tradicionalnu obranu temeljenu na URL-u. 

Čak i ako bi obrambeno rješenje temeljeno na URL-u identificiralo zlonamjernu aktivnost, ono obično ne bi blokiralo ULR jer bi blokiranje svih poddomena pod `windows.net` ometalo nebrojene legitimne usluge koje hostira Microsoft, uzrokujući operativne probleme za organizacije. 

2. Nasumične poddomene nula sati

Napadači su iskoristili nasumične poddomene kako bi se izbjeglo otkrivanje. LayerX laboratoriji uhvatili su `pushalm83e.z13.web.core.windows[.]net`. Međutim, ovi se nizovi domene mogu jednostavno generirati i često rotirati. 

To omogućuje napadačima da osiguraju da se stranica neće podudarati s postojećim podacima o prijetnjama ili crnim listama URL-ova. Ova taktika, koja se često naziva tehnika "nula sati", omogućuje stranicama za krađu identiteta da ostanu na mreži dovoljno dugo da zarobe žrtve prije nego što budu uklonjene i rotirane na drugu nasumično odabranu poddomenu.

3. Niska sličnost kompleta za krađu identiteta

Dizajn stranice za krađu identiteta bio je nov i nije odgovarao postojećim predlošcima, hashovima i potpisima koji se obično mogu vidjeti u kompletima za krađu identiteta. To je omogućilo stranici da izbjegne otkrivanje rješenja koja se oslanjaju na analizu sličnosti stranice za krađu identiteta.

Kontrole koje se oslanjaju samo na phishing predloške i popise, bez provjere samog sadržaja web stranice, bit će zaobiđene naprednim i kreativnim napadima.

Ipak, unatoč ovim karakteristikama, LayerX je uspio otkriti i blokirati ovaj napad na vrijeme.

Zašto je LayerX otkriven kada naslijeđene obrane nisu uspjele

Za razliku od tradicionalnih alata za mrežnu sigurnost, koji se prvenstveno oslanjaju na popise poznatih loših URL-ova, LayerX štiti od krađe identiteta i društvenog inženjeringa iskorištavanjem filtriranja URL-ova s ​​analizom ponašanja stranice u stvarnom vremenu. 

LayerX-ova analiza web sadržaja u stvarnom vremenu ne oslanja se samo na reputaciju domene ili statičke potpise. Umjesto toga, koristi se neuronskom mrežom koju pokreće umjetna inteligencija za otkrivanje čimbenika rizika u stvarnom vremenu, čak i za dosad neviđene napade. Kao rezultat toga, kada je stranica za krađu identiteta pokušala zatražiti od korisnika da unesu vjerodajnice ili nazovu broj podrške, LayerX-ovo rješenje odmah je identificiralo taj pokušaj, označilo ga kao sumnjivo i automatski blokiralo stranicu, sprječavajući potencijalnu štetu.

LayerX je prvo rješenje koje je doraslo izazovu osiguravanja najciljanije i najizloženije površine za napad danas – preglednika, bez utjecaja na korisničko iskustvo. 

LayerX pruža sveobuhvatnu zaštitu za sve prijetnje koje se prenose webom uz kontinuirani nadzor, analizu rizika i provedbu u stvarnom vremenu za bilo koji događaj i aktivnost korisnika tijekom sesije pregledavanja. 

Poduzeća iskorištavaju ove mogućnosti kako bi zaštitila svoje uređaje, identitete, podatke i SaaS aplikacije od prijetnji s weba i rizika pregledavanja od kojih krajnja točka i mrežna rješenja ne mogu zaštititi. To uključuje blokiranje curenja podataka preko weba, SaaS aplikacije i GenAI alate, sprječavanje krađe vjerodajnica od krađe identiteta, provođenje sigurnog pristupa SaaS resursima od strane unutarnje ili vanjske radne snage kako bi se smanjio rizik od preuzimanja računa, otkrivanje i onemogućavanje zlonamjernih proširenja preglednika , Shadow SaaS i više.

LayerX Enterprise Browser Extension nativno se integrira s bilo kojim preglednikom, pretvarajući ga u najsigurniji radni prostor kojim se lako može upravljati. Saznajte više.