LayerX Labs je odkril novo kampanjo z lažnim predstavljanjem zero-day, ki posnema Microsoftova varnostna obvestila, da bi žrtve zvabila v skupno rabo svojih poverilnic za prijavo in podrobnosti o plačilu. 

Napad posnema varnostno opozorilo Microsoft Windows Defender, ki uporabnike poziva, naj pokličejo telefonsko številko za pomoč, vnesejo svoje poverilnice in zagotovijo plačilo klicnemu centru, da 'zavarujejo' svoj računalnik. 

Ta napad je uspel prodreti v tradicionalne varnostne mehanizme omrežja, kot so rešitve Secure Web Gateways (SWG) in Security Service Edge (SSE), ker uporablja številne tehnike izogibanja, zasnovane posebej za izogibanje tradicionalnim varnostnim orodjem.

V tem spletnem dnevniku bomo delili podrobnosti tega incidenta, razložili, zakaj je edinstven, razložili, zakaj je zdrsnil skozi tradicionalne varnostne mehanizme in kako lahko zaščitite sebe (in svojo organizacijo) pred podobnimi poskusi.

 

Incident: Prevara Microsoft Alert

Ta napad je bil prepoznan v okolju ene od velikih poslovnih strank LayerX, kjer je zaobšel več plasti nadzora varnosti omrežja, vendar ga je LayerX samodejno blokiral, preden je lahko povzročil škodo.

Napad uporablja preprosto, a učinkovito strategijo – spletno stran, ki spominja na opozorilo Microsoft Windows Defender, ki trdi, da je njihov računalnik okužen z zlonamerno programsko opremo.

Sporočilo trdi, da je bila uporabnikova naprava okužena z zlonamerno programsko opremo, in jih poziva, naj pokličejo številko za podporo za takojšnjo pomoč.

Uporabnikom, ki so poskušali zapustiti stran, se je prikazalo sporočilo, da je njihova naprava zaklenjena, zaradi česar so morali vnesti svoje poverilnice za prijavo. 

V nekaterih primerih, ki smo jih preizkusili, je lahko koda strani povzročila zamrznitev spletnega brskalnika, posnemanje varnostne blokade s strani Microsofta in znova pozvala, naj pokličejo lažno številko varnostne linije za pomoč.

Ta vrsta socialnega inženiringa preži na nujnost in tesnobo nič hudega slutečih uporabnikov. S simulacijo varnostnega izrednega dogodka napadalci uporabnike pozovejo k takojšnjemu ukrepanju, da si ne vzamejo časa za preveč natančno preučevanje opozorila.

Več plasti tveganja

Napadalci običajno uporabljajo taktike lažnega predstavljanja, da uporabnike zavedejo v skupno rabo informacij ali omogočijo dostop do sistemov. Brez vzpostavljenega naprednega zaznavanja bi lahko bili uporabniki izpostavljeni napadu, zaradi česar bi bili v nevarnosti:

  • Klicanje posredovane telefonske številke, kjer bi lahko napadalci z manipulacijo z njimi plačali odkupnino ali odobrili oddaljen dostop do njihovih sistemov.
  • Vnos njihovih poverilnic na lažno spletno mesto, ki bi jih napadalci lahko ukradli in uporabili za prevzeme računov.
  • Njihovi uporabniški podatki se uporabljajo za bolj sofisticirane napade ali se prodajajo na temnem spletu.

Zakaj konvencionalna obramba ni uspela

Številne organizacije uporabljajo rešitev Secure Web Gateway (SWG) za spopadanje z grožnjami pri brskanju in lažnimi napadi. Kljub temu je bil ta napad zaznan pri stranki LayerX, kjer je ta napad zaobšel SWG organizacije. To je zato, ker obramba omrežne plasti, kot sta SWG in e-poštni prehodi, običajno temelji na dveh primarnih metodah: 

  • Seznami blokiranih znanih zlonamernih URL-jev
  • Podpisi znanih lažnih strani

Ta napad je uspel zaobiti oba iz naslednjih razlogov:

1. Zakonita domena gostovanja

Napadalci so svojo lažno stran gostili na zakoniti Microsoftovi domeni gostovanja: windows[.]net. 

Windows[.]net je Microsoftova platforma za razvijalce za gostovanje spletnih aplikacij .net in Azure. To pomeni, da je bila stran z lažnim predstavljanjem na Microsoftovi lastni infrastrukturi. Posledično je stran uživala visok ugled domene najvišje ravni (TLD).

Zunanjemu opazovalcu je bila zaradi tega videti kot zakonita Microsoftova stran in ji je omogočilo, da zaobide tradicionalno obrambo, ki temelji na URL-jih. 

Tudi če bi obrambna rešitev, ki temelji na URL-jih, prepoznala zlonamerno dejavnost, običajno ne bi blokirala ULR, saj bi blokiranje vseh poddomen pod »windows.net« prekinilo nešteto zakonitih storitev, ki jih gosti Microsoft, kar bi organizacijam povzročilo operativne težave. 

2. Naključne poddomene brez ur

Napadalci so izkoristili naključne poddomene da bi se izognili odkrivanju. Laboratoriji LayerX so zajeli `pushalm83e.z13.web.core.windows[.]net`. Vendar pa je te domenske nize mogoče enostavno ustvariti in jih pogosto menjati. 

To napadalcem omogoča, da zagotovijo, da se stran ne bo ujemala z nobenim obstoječim obveščanjem o grožnjah ali črnimi seznami URL-jev. Ta taktika, ki se pogosto imenuje tehnika »ničelne ure«, omogoča spletnim mestom z lažnim predstavljanjem, da ostanejo na spletu ravno toliko časa, da ujamejo žrtve, preden jih odstranijo in preusmerijo na drugo naključno izbrano poddomeno.

3. Nizka podobnost kompleta za lažno predstavljanje

Zasnova strani z lažnim predstavljanjem je bila nova in se ni ujemala z obstoječimi predlogami, zgoščenimi vrednostmi in podpisi, ki jih običajno vidimo v kompletih za lažno predstavljanje. To je omogočilo, da se je stran izognila odkrivanju rešitev, ki temeljijo na analizi podobnosti strani z lažnim predstavljanjem.

Kontrole, ki se zanašajo samo na predloge in sezname lažnega predstavljanja, ne da bi pregledali vsebino same spletne strani, bodo obšli napredni in kreativni napadi.

Kljub tem značilnostim je LayerX lahko pravočasno odkril in blokiral ta napad.

Zakaj je bil LayerX zaznan, ko je stara obramba odpovedala

Za razliko od tradicionalnih orodij za varnost omrežja, ki se zanašajo predvsem na sezname znanih slabih URL-jev, LayerX ščiti pred lažnim predstavljanjem in socialnim inženiringom tako, da izkorišča filtriranje URL-jev s sprotno analizo vedenja strani. 

LayerXova analiza spletne vsebine v realnem času se ne zanaša samo na ugled domene ali statične podpise. Namesto tega uporablja nevronsko mrežo, ki jo poganja umetna inteligenca, za odkrivanje dejavnikov tveganja v realnem času, tudi za prej neopažene napade. Posledično, ko je stran z lažnim predstavljanjem poskušala uporabnike pozvati, naj vnesejo poverilnice ali pokličejo številko za podporo, je rešitev LayerX takoj prepoznala ta poskus, ga označila kot sumljivega in samodejno blokirala stran ter preprečila morebitno škodo.

LayerX je prva rešitev, ki je kos izzivu zaščite najbolj ciljane in izpostavljene napadalne površine danes – brskalnika, brez vpliva na uporabniško izkušnjo. 

LayerX zagotavlja celovito zaščito za vse spletne grožnje z nenehnim spremljanjem, analizo tveganja in uveljavljanjem v realnem času za kateri koli dogodek in dejavnost uporabnika v seji brskanja. 

Podjetja izkoristijo te zmogljivosti za zaščito svojih naprav, identitet, podatkov in aplikacij SaaS pred spletnimi grožnjami in tveganji brskanja, pred katerimi končne točke in omrežne rešitve ne morejo zaščititi. Ti vključujejo blokiranje uhajanja podatkov po spletu, aplikacije SaaS in orodja GenAI, preprečevanje kraje poverilnic zaradi lažnega predstavljanja, uveljavljanje varnega dostopa do virov SaaS s strani notranje ali zunanje delovne sile za zmanjšanje tveganja prevzema računa, odkrivanje in onemogočanje zlonamernih razširitev brskalnika , Shadow SaaS in drugo.

LayerX Enterprise Browser Extension se izvorno integrira s katerim koli brskalnikom in ga spremeni v najbolj varen in obvladljiv delovni prostor. Več o tem.