Οι εγκληματίες του κυβερνοχώρου έχουν ξεκινήσει μια νέα καμπάνια phishing που ξεγελάει τους χρήστες πλαστοπροσωπώντας νόμιμες ειδοποιήσεις φίλτρου ανεπιθύμητης αλληλογραφίας από τη δική τους εταιρεία.
Αυτά τα πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου ισχυρίζονται ότι ο οργανισμός σας αναβάθμισε πρόσφατα το σύστημα ασφαλών μηνυμάτων του και ότι ορισμένα εκκρεμή μηνύματα απέτυχαν να φτάσουν στα εισερχόμενά σας.
Το μήνυμα σας προτρέπει να κάνετε κλικ στο κουμπί “Μετακίνηση στα Εισερχόμενα” για να ανακτήσετε τα υποτιθέμενα μηνύματα ηλεκτρονικού ταχυδρομείου. Αυτό που φαίνεται να είναι μια χρήσιμη ειδοποίηση συστήματος είναι στην πραγματικότητα μια επικίνδυνη παγίδα που έχει σχεδιαστεί για να κλέψει τα στοιχεία σύνδεσης του email σας.
Το ηλεκτρονικό μήνυμα ηλεκτρονικού ψαρέματος φαίνεται εκπληκτικά πειστικό, εμφανίζοντας γενικούς τίτλους μηνυμάτων και αναφορές παράδοσης που φαίνονται ρουτίνα και αβλαβή.
Περιλαμβάνει ακόμη και έναν σύνδεσμο κατάργησης εγγραφής για να φαίνεται πιο νόμιμος. Ωστόσο, τόσο το κύριο κουμπί όσο και ο σύνδεσμος απεγγραφής ανακατευθύνουν τα θύματα μέσω ενός παραβιασμένου cbssports[.]com ανακατεύθυνση πριν από την προσγείωση στον πραγματικό ιστότοπο phishing που φιλοξενείται στο mdbgo[.]io.
.webp.jpeg)
Οι εισβολείς κωδικοποιούν τη διεύθυνση email σας ως συμβολοσειρά base64 στη διεύθυνση URL, επιτρέποντας στην ψεύτικη σελίδα σύνδεσης να εμφανίζει αυτόματα τον τομέα σας, κάνοντας την απάτη να φαίνεται ακόμα πιο εξατομικευμένη και αξιόπιστη.
Μετά τις αρχικές προειδοποιήσεις από τους ερευνητές της Unit42 σχετικά με αυτήν την καμπάνια, οι αναλυτές ασφαλείας της Malwarebytes αναγνωρισθείς ότι η επίθεση έχει γίνει πιο προχωρημένη και συνεχίζει να αλλάζει ραγδαία.
Η ψεύτικη σελίδα σύνδεσης δεν είναι απλώς ένας απλός μηχανισμός συγκομιδής διαπιστευτηρίων, αλλά χρησιμοποιεί πολύ ασαφή κώδικα για να κρύψει τον πραγματικό σκοπό της.
Συγκομιδή διαπιστευτηρίων με βάση το Websocket
Η τεχνική ρύθμιση πίσω από αυτήν την επίθεση phishing την διαφοροποιεί από τις παραδοσιακές μεθόδους. Αντί να συλλέγει απλώς το όνομα χρήστη και τον κωδικό πρόσβασής σας αφού κάνετε κλικ στην υποβολή, αυτή η καμπάνια χρησιμοποιεί τεχνολογία websocket για να κλέψει τις πληροφορίες σας αμέσως.
Μια διαδικτυακή πρίζα δημιουργεί μια συνεχή σύνδεση μεταξύ του προγράμματος περιήγησής σας και του διακομιστή του εισβολέα, παρόμοια με τη διατήρηση μιας τηλεφωνικής γραμμής ανοιχτή χωρίς να κλείσετε το τηλέφωνο.
Αυτό επιτρέπει στα δεδομένα να ρέουν αμέσως και προς τις δύο κατευθύνσεις, χωρίς να ανανεώνεται η σελίδα.
Όταν πληκτρολογείτε το email και τον κωδικό πρόσβασής σας στην ψεύτικη φόρμα σύνδεσης, οι εισβολείς λαμβάνουν τα διαπιστευτήριά σας σε πραγματικό χρόνο καθώς εισάγετε κάθε χαρακτήρα.
Αυτό τους δίνει τη δυνατότητα να έχουν πρόσβαση στον λογαριασμό email σας, στο χώρο αποθήκευσης cloud και σε άλλες συνδεδεμένες υπηρεσίες μέσα σε λίγα δευτερόλεπτα.
Η σύνδεση websocket επιτρέπει επίσης στους εισβολείς να σας στέλνουν πρόσθετα μηνύματα ζητώντας κωδικούς ελέγχου ταυτότητας δύο παραγόντων, καθιστώντας δυνατή την παράκαμψη ακόμη και λογαριασμών που προστατεύονται με επιπλέον επίπεδα ασφαλείας.
