Νέο κύμα phishing ανακάλυψαν οι ειδικοί της Check Point: 40.000 emails μιμούνται SharePoint και υπηρεσίες ηλεκτρονικής υπογραφής

Πρόσφατα, οι ειδικοί ασφάλειας email της Check Point αποκάλυψαν μια κακόβουλη phishing καμπάνια, στην οποία οι επιτιθέμενοι προσποιούνται ότι είναι υπηρεσίες διαμοίρασης αρχείων και e-signature, αποστέλλοντας παραπλανητικές ειδοποιήσεις με οικονομικό περιεχόμενο που μοιάζουν απολύτως νόμιμες.

Στο συγκεκριμένο περιστατικό, οι δράστες απέστειλαν περισσότερα από 40.000 phishing emails, στοχεύοντας περίπου 6.100 επιχειρήσεις μέσα σε διάστημα δύο εβδομάδων. Όλοι οι κακόβουλοι σύνδεσμοι διοχετεύτηκαν μέσω της διεύθυνσης https://url.za.m.mimecastprotect.com, αυξάνοντας την αξιοπιστία τους, καθώς μιμούνταν γνωστά μοτίβα ανακατεύθυνσης.

Πώς λειτουργεί η καμπάνια

Οι επιτιθέμενοι καταχράστηκαν το χαρακτηριστικό secure-link rewriting του Mimecast, χρησιμοποιώντας το ως κάλυψη για να κάνουν τους κακόβουλους συνδέσμους να φαίνονται ασφαλείς και πιστοποιημένοι. Δεδομένου ότι το Mimecast Protect θεωρείται έμπιστος τομέας, η τεχνική αυτή βοηθά στην παράκαμψη αυτοματοποιημένων φίλτρων, αλλά και στην αποφυγή υποψίας από τους χρήστες.

Για να ενισχύσουν περαιτέρω την αξιοπιστία της απάτης, τα emails αναπαρήγαγαν επίσημα οπτικά στοιχεία υπηρεσιών—όπως λογότυπα των Microsoft και Office προϊόντων—χρησιμοποίησαν παρόμοια headers και footers, κουμπιά τύπου “Review Document”, καθώς και παραποιημένα εμφανιζόμενα ονόματα όπως:

• “X via SharePoint (Online)”,
• “eSignDoc via Y”,
• “SharePoint”,

μιμούμενα πολύ πιστά την εμφάνιση πραγματικών ειδοποιήσεων υπηρεσιών συνεργασίας και διαμοίρασης εγγράφων.

Σχετική Παραλλαγή: Phishing τύπου DocuSign με Διαφορετική Μέθοδο Ανακατεύθυνσης

Παράλληλα με τη μεγάλη καμπάνια που μιμείται υπηρεσίες SharePoint και e-signing, οι ερευνητές εντόπισαν μια μικρότερη αλλά συναφή επιχείρηση, η οποία προσποιείται ειδοποιήσεις DocuSign. Όπως και η κύρια επίθεση, έτσι και αυτή βασίζεται στην απομίμηση μιας έμπιστης SaaS πλατφόρμας και αξιοποιεί νόμιμες υποδομές ανακατεύθυνσης. Ωστόσο, η τεχνική που χρησιμοποιείται για την απόκρυψη του κακόβουλου προορισμού διαφέρει σημαντικά.

Στην κύρια καμπάνια, ο δευτερεύων ανακατευθυντής λειτουργεί ως open redirect, αφήνοντας την τελική phishing διεύθυνση ορατή στο query string, ακόμη κι αν έχει «τυλιχθεί» μέσα σε αξιόπιστες υπηρεσίες. Στην παραλλαγή που μιμείται DocuSign, ο σύνδεσμος περνά πρώτα από URL της Bitdefender GravityZone και στη συνέχεια από την υπηρεσία click-tracking του Intercom, με αποτέλεσμα ο πραγματικός προορισμός να παραμένει πλήρως κρυμμένος πίσω από tokenized redirect.

Η μέθοδος αυτή αποκρύπτει εξ ολοκλήρου την τελική κακόβουλη διεύθυνση, καθιστώντας την παραλλαγή DocuSign ακόμη πιο ύπουλη και δύσκολη στον εντοπισμό.

Έκταση της Καμπάνιας και Μοτίβα Στόχευσης

Η καμπάνια στόχευσε κυρίως οργανισμούς στις ΗΠΑ, την Ευρώπη, τον Καναδά, την περιοχή Ασίας-Ειρηνικού (APAC) και τη Μέση Ανατολή, δίνοντας ιδιαίτερη έμφαση στους τομείς της συμβουλευτικής, της τεχνολογίας και των κατασκευών/real estate. Επιπλέον θύματα εντοπίστηκαν σε κλάδους όπως υγεία, χρηματοοικονομικά, μεταποίηση, media και marketing, μεταφορές και logistics, ενέργεια, εκπαίδευση, λιανεμπόριο, φιλοξενία και ταξίδια, καθώς και σε κυβερνητικές υπηρεσίες.

Οι συγκεκριμένοι κλάδοι αποτελούν ιδιαίτερα ελκυστικούς στόχους, καθώς ανταλλάσσουν συστηματικά συμβόλαια, τιμολόγια και άλλα συναλλακτικά έγγραφα—γεγονός που κάνει τις απομιμήσεις υπηρεσιών διαμοίρασης αρχείων και e-signature ακόμη πιο πειστικές και αυξάνει τις πιθανότητες επιτυχίας μιας επίθεσης.

Σύμφωνα με δεδομένα από την υπηρεσία Harmony Email της Check Point, μέσα στις τελευταίες δύο εβδομάδες στάλθηκαν πάνω από 40.000 phishing emails, στοχεύοντας περίπου 6.100 επιχειρήσεις. Η γεωγραφική κατανομή έχει ως εξής:

• ΗΠΑ: 34.057
• Ευρώπη: 4.525
• Καναδάς: 767
• Ασία: 346
• Αυστραλία: 267
• Μέση Ανατολή: 256

Σημείωση: Η γεωγραφική αυτή κατανομή αντικατοπτρίζει το πού φιλοξενούνται τα δεδομένα των οργανισμών στην υποδομή της Check Point και δεν αντιστοιχεί απαραίτητα στη φυσική τοποθεσία των επιχειρήσεων.

Ποιοι οργανισμοί επηρεάστηκαν περισσότερο

Οι περισσότερο πληγείσες επιχειρήσεις δραστηριοποιούνται στους κλάδους της Συμβουλευτικής, της Τεχνολογίας και των Κατασκευών/Real Estate. Επιπλέον, υπάρχουν σημαντικοί στόχοι στους τομείς της Υγείας, των Χρηματοοικονομικών, της Μεταποίησης, του Media/Marketing, των Μεταφορών και Logistics, της Ενέργειας, της Εκπαίδευσης, του Λιανεμπορίου, της Φιλοξενίας/Ταξιδιών και του Δημόσιου Τομέα.

Οι κλάδοι αυτοί αποτελούν ελκυστικούς στόχους επειδή ανταλλάσσουν συχνά συμβόλαια, τιμολόγια και άλλα οικονομικά έγγραφα. Αυτό καθιστά τις απομιμήσεις υπηρεσιών διαμοίρασης αρχείων και e-signature ιδιαίτερα πειστικές, αυξάνοντας την πιθανότητα επιτυχίας των επιθέσεων.

Γιατί έχει σημασία

Αν και έχουν καταγραφεί παρόμοιες phishing καμπάνιες τα προηγούμενα χρόνια, η συγκεκριμένη επίθεση ξεχωρίζει γιατί αποδεικνύει πόσο εύκολα οι δράστες μπορούν να μιμηθούν έμπιστες υπηρεσίες ανταλλαγής αρχείων και να παραπλανήσουν τους χρήστες. Υπογραμμίζει επίσης την ανάγκη συνεχούς επαγρύπνησης, ειδικά όταν τα emails περιέχουν:

• ενεργούς συνδέσμους,
• ύποπτα ή ασυνήθιστα στοιχεία αποστολέα,
• μη τυπικό ή παράξενο περιεχόμενο.

Τι πρέπει να κάνουν οι οργανισμοί

Οι οργανισμοί –αλλά και οι μεμονωμένοι χρήστες– πρέπει να λάβουν προληπτικά μέτρα για να μειώσουν τον κίνδυνο στο ελάχιστο. Ορισμένες βασικές πρακτικές προστασίας περιλαμβάνουν τις παρακάτω:

• Αντιμετωπίστε κάθε σύνδεσμο σε email με προσοχή, ιδιαίτερα όταν το μήνυμα είναι απρόσμενο ή παρουσιάζεται ως επείγον.
• Εξετάστε προσεκτικά τις λεπτομέρειες του email, όπως αναντιστοιχίες ανάμεσα στο εμφανιζόμενο όνομα και τη διεύθυνση αποστολέα, ασυνήθιστη μορφοποίηση, μη φυσιολογικά μεγέθη γραμματοσειράς, χαμηλής ποιότητας λογότυπα ή οτιδήποτε φαίνεται εκτός συνηθισμένου.
• Κάντε hover πάνω σε συνδέσμους πριν κάνετε κλικ, ώστε να δείτε τον πραγματικό προορισμό και να επιβεβαιώσετε ότι ταιριάζει με την υπηρεσία που υποτίθεται ότι σας έστειλε το μήνυμα.
• Επισκεφθείτε την υπηρεσία απευθείας μέσω browser, αναζητώντας το έγγραφο από τον επίσημο ιστότοπο, αντί να χρησιμοποιείτε συνδέσμους από emails.
• Εκπαιδεύστε τακτικά τους εργαζόμενους σχετικά με νέες μεθόδους phishing, ώστε να μπορούν να εντοπίζουν έγκαιρα ύποπτα μοτίβα.
• Χρησιμοποιήστε εξειδικευμένα εργαλεία ασφάλειας email, όπως μηχανές ανίχνευσης απειλών, anti-phishing engines, URL filtering και εργαλεία αναφοράς ύποπτων μηνυμάτων.

Δήλωση από τη Mimecast

Η καμπάνια που περιγράφει η Check Point εκμεταλλεύτηκε νόμιμες υπηρεσίες ανακατεύθυνσης URL για να αποκρύψει κακόβουλους συνδέσμους και δεν αποτελεί ευπάθεια του Mimecast. Οι δράστες χρησιμοποίησαν αξιόπιστες υποδομές –συμπεριλαμβανομένης της υπηρεσίας URL rewriting της Mimecast– για να κρύψουν τον πραγματικό προορισμό των phishing URLs, μια συνηθισμένη τακτική όπου οι κυβερνοεγκληματίες χρησιμοποιούν οποιονδήποτε αναγνωρισμένο domain για να αποφύγουν τον εντοπισμό.

• Οι πελάτες της Mimecast δεν είναι εκτεθειμένοι σε τέτοιου τύπου επίθεση.
• Οι μηχανισμοί ανίχνευσης της πλατφόρμας εντοπίζουν και μπλοκάρουν τέτοιες προσπάθειες εξαπάτησης
• Οι δυνατότητες σάρωσης URL ανιχνεύουν και αποκλείουν κακόβουλους συνδέσμους πριν την παράδοση, ενώ η υπηρεσία URL rewriting προσφέρει δεύτερο επίπεδο προστασίας, ελέγχοντας τους συνδέσμους τη στιγμή του κλικ—even όταν αυτοί βρίσκονται πίσω από περίπλοκες αλυσίδες ανακατεύθυνσης.

Η Mimecast δηλώνει ότι συνεχίζει να ενισχύει τα συστήματά της ενάντια σε εξελισσόμενες τεχνικές phishing. Οι πελάτες μπορούν να διαβάσουν την ανάλυση του 2024 σχετικά με παρόμοιες καμπάνιες στον σύνδεσμο αυτόν.