Microsoft cảnh báo về các cuộc tấn công lừa đảo bằng cách sử dụng chuyển hướng mở

Posted on by Bình luận về bài viết này

Microsoft cảnh báo về một chiến dịch lừa đảo thông tin đăng nhập rộng rãi tận dụng các liên kết chuyển hướng mở trong liên lạc qua email như một vectơ để lừa người dùng truy cập các trang web độc hại trong khi vượt qua phần mềm bảo mật một cách hiệu quả.

“Những kẻ tấn công kết hợp các liên kết này với mồi bẫy kỹ thuật xã hội mạo danh các công cụ và dịch vụ nổi tiếng để thu hút người dùng nhấp vào vi dụ như ứng dụng học và hội họp trực tuyến Zoom”, Microsoft 365 Defender Threat Intelligence Team cho biết trong một báo cáo được công bố trong tuần này.

“Kẻ tấn công dẫn qua một loạt chuyển hướng – bao gồm cả trang xác minh CAPTCHA tạo thêm cảm giác hợp pháp và cố gắng trốn tránh một số hệ thống phân tích tự động – trước khi đưa người dùng đến trang đăng nhập giả mạo. Điều này cuối cùng dẫn đến thỏa hiệp thông tin xác thực, đặt người dùng và tổ chức của họ vào các cuộc tấn công khác. “

Mặc dù các liên kết chuyển hướng trong thư email đóng vai trò là một công cụ quan trọng để đưa người nhận đến các trang web của bên thứ ba hoặc theo dõi tỷ lệ nhấp và đo lường sự thành công của các chiến dịch bán hàng và tiếp thị, kỹ thuật tương tự có thể bị đối thủ lạm dụng để chuyển hướng các liên kết đó đến cơ sở hạ tầng của chính họ, tại đồng thời giữ nguyên tên miền đáng tin cậy trong URL đầy đủ để tránh bị phân tích bởi các công cụ chống phần mềm độc hại, ngay cả khi người dùng cố gắng di chuột vào các liên kết để kiểm tra bất kỳ dấu hiệu nội dung đáng ngờ nào.

chuyển hướng mở lừa đảo

Để dẫn các nạn nhân tiềm năng đến các trang web lừa đảo, các URL chuyển hướng được nhúng trong thư được thiết lập bằng cách sử dụng một dịch vụ hợp pháp, trong khi các miền do tác nhân cuối cùng kiểm soát có trong liên kết sử dụng các miền cấp cao nhất .xyz, .club, .shop, và .online (ví dụ: “c-tl [.] xyz”), nhưng được chuyển dưới dạng tham số để đánh lén các giải pháp cổng email trước đây.

Microsoft cho biết họ đã quan sát thấy ít nhất 350 tên miền lừa đảo duy nhất như một phần của chiến dịch – một nỗ lực khác để che giấu khả năng phát hiện – nhấn mạnh việc chiến dịch sử dụng hiệu quả các chiêu dụ kỹ thuật xã hội thuyết phục có mục đích trở thành tin nhắn thông báo từ các ứng dụng như Office 365 và Zoom, một công cụ được chế tạo tốt kỹ thuật né tránh phát hiện và một cơ sở hạ tầng bền vững để thực hiện các cuộc tấn công.

phishing open redirect

Nhấp vào liên kết được tạo đặc biệt sẽ chuyển hướng người dùng

Nhà nghiên cứu cho biết: “Điều này không chỉ cho thấy quy mô mà cuộc tấn công này đang được tiến hành mà còn chứng minh mức độ mà những kẻ tấn công đang đầu tư vào nó, cho thấy những khoản hoàn trả đáng kể tiềm năng”.

Để cung cấp cho cuộc tấn công một lớp xác thực, việc nhấp vào các liên kết được chế tạo đặc biệt sẽ chuyển hướng người dùng đến một trang đích độc hại sử dụng reCAPTCHA của Google để chặn bất kỳ nỗ lực quét động nào. Sau khi hoàn thành xác minh CAPTCHA, các nạn nhân được hiển thị một trang đăng nhập gian lận bắt chước một dịch vụ đã biết như Microsoft Office 365, để đánh cắp mật khẩu của họ khi gửi thông tin.

Các nhà nghiên cứu lưu ý: “Chiến dịch lừa đảo này là ví dụ điển hình cho cơn bão hoàn hảo của [kỹ thuật xã hội, né tránh phát hiện và cơ sở hạ tầng tấn công lớn] nhằm đánh cắp thông tin đăng nhập và cuối cùng là xâm nhập vào mạng”. “Và do 91% tất cả các cuộc tấn công mạng bắt nguồn từ email , do đó, các tổ chức phải có một giải pháp bảo mật cung cấp cho họ khả năng phòng thủ nhiều lớp chống lại các loại tấn công này.”

THN / Security365

Trả lời

Bạn cần phải đăng nhập để gửi bình luận:

Gravatar
WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

Hủy bỏ

Connecting to %s