С каждым днем, месяцем и годом становится ясно, что кибератаки никуда не исчезают. Любое предприятие, человек или отрасль могут быть атакованы в любой момент времени. Последней из них является фишинговая афера, которая атаковала крупные отрасли, например строительство, и предоставила учетные данные для входа в систему через поиск Google.
Фишинговое мошенничество раскрыто через Google
Исследовательская компания Check Point предупредила весь мир публикацией в блоге о том, что украденные учетные данные для входа из крупных отраслей были опубликованы на скомпрометированных доменах WordPress. Затем его обнаружили на самом публичном форуме: в поиске Google.
Все началось с электронных писем, в теме которых в мошеннических письмах были имена и должности сотрудников. Сотрудники были из таких отраслей, как строительство, информационные технологии, здравоохранение, недвижимость и производство. Эти электронные письма имитировали уведомления Xerox/Xeros, исходящие с сервера Linux и размещенные в Microsoft Azure. Спам также рассылался через учетные записи электронной почты, которые ранее были взломаны, что придавало сообщениям легитимность.
К письмам были прикреплены HTML-файлы, содержащие встроенный код JavaScript. У них была только одна цель: тайная проверка паролей. Когда ввод учетных данных был обнаружен, они были собраны, и пользователи перенаправлялись на страницы входа.
«Хотя эта цепочка заражения может показаться простой, она успешно обошла фильтрацию Microsoft Office 365 Advanced Threat Protection (ATP) и украла учетные данные более тысячи корпоративных сотрудников», — сообщает Check Point.
Захваченные веб-сайты, ставшие объектом этой кибератаки, были созданы на базе CMS WordPress. В компании Check Point пояснили, что эти домены использовались в качестве «серверов зоны сброса» для обработки украденных учетных данных.
После того как учетные данные для входа были отправлены на серверы зоны сброса, они были сохранены в файлах, которые затем были проиндексированы Google, что сделало их общедоступными. Они были доступны каждому через поиск в Google. Но серверы использовались всего около двух месяцев и были связаны с доменами.XYZ.
«Злоумышленники обычно предпочитают использовать скомпрометированные серверы вместо собственной инфраструктуры из-за известной репутации существующих веб-сайтов», — пояснили в Check Point. «Чем более широко известна репутация, тем выше вероятность того, что электронная почта не будет заблокирована поставщиками средств безопасности».
Предупреждение на будущее
Обнаруженные доказательства показывают, что эта конкретная фишинговая афера могла существовать уже некоторое время. Письмо от августа прошлого года сравнивали с недавно обнаруженным мошенничеством, и у них была одинаковая кодировка JavaScript.
Все это показывает, что мы не можем ослабить бдительность. Пострадать могут крупные отрасли промышленности и любое частное лицо или предприятие, в том числе такие технологические гиганты, как Google и WordPress. Когда дело касается Интернета, ничто не может быть безопасным. Всегда будьте внимательны и берегите свою информацию.
Прочитайте дальше, чтобы узнать, как тенденция работать на дому привела к увеличению количества кибератак и поддельных приложений для совместной работы.
