Ďalšia phishingová kampaň na vzostupe. Tentokrát zameraná na Office365

Národné centrum kybernetickej bezpečnosti SK-CERT upozorňuje na zvýšenú aktivitu phishingových útokov, zameraných na získavanie prihlasovacích údajov do balíka aplikácií a cloudovej služby Office365, aplikácie Microsoft Teams a aplikácie Zoom.

Podľa reportu spoločnosti Checkpoint, sa v tretej štvrtine roku 2020 stala spoločnosť Microsoft najčastejšie zneužívanou spoločnosťou pri phishingových útokoch[1]. V súčasnosti sa používatelia produktov Microsoft stali cieľom globálnej phishingovej kampane, v rámci ktorej sa šíri aj trójsky kôň Cryxos, ktorý je často používaný ako vstupná brána útočníkov do zariadenia obete. Malvér zobrazuje obeti v prehliadači varovanie, že prehliadač bol zablokovaný z dôvodu vírusovej infekcie. Následne obeť presmeruje na webstránku, kde si môže kúpiť často veľmi drahý a falošný antivírus alebo môže zavolať na telefónne číslo, kde sa útočník z obete snaží vymámiť osobné, platobné alebo iné cenné údaje Na podobný vektor útoku sme už v minulosti upozorňovali v článkuVolá Vám technická podpora Microsoftu? Môže ísť o podvod“.

Útok je nebezpečný, nakoľko je ťažké ho detegovať. V prípade phishingového e-mailu tento obsahuje link, ktorý obeť buď priamo dostane na škodlivý web, alebo ju odkáže na (za normálnych okolností) bezpečnú doménu. Tá bezpečná doména obeť nasledovne presmeruje na škodlivý web. Toto presmerovanie je možné vďaka zneužitiu zraniteľnosti Apache vo verziách starších ako 2.4.41, ktorá sa nachádza aj na webstránkach známych spoločností ako Sony, TripAdvisor či poisťovacej spoločnosti RAC. Podľa informácií od bezpečnostnej spoločnosti Greathorn[2] bol phishing dokonca hostovaný aj na webstránkach vlastnených spoločnosťami DigitalOcean (digitaloceanspaces.com) a Google (firebasestorage.googleapis.com). Škodlivá webstránka môže mať tvar prihlasovacej webstránky s totožným vzhľadom ako webstránka Office 365, Microsoft Teams alebo Zoom.

Zdroj: Greathorn.com

Národné centrum kybernetickej bezpečnosti SK-CERT preto všetkým používateľom odporúča:

  • Skontrolovať prijaté emaily, ktoré obsahovali škodlivú doménu v tvare (http://t.****/r/) kde **** je názov kompromitovanej domény. Ak ste do svojej schránky takýto e-mail dostali, ihneď začnite zisťovať, či nedošlo k prípadnej kompromitácii vašich údajov
  • Dodržiavajte základné zásady kybernetickej hygieny
    • Neotvárajte neoverené správy a správy od neznámych používateľov
    • Neotvárajte podozrivé prílohy (ani vo Vám známych formátoch ako .pdf/.docx a iné)
    • Zakážte povoľovanie makier v dokumentoch
    • Neotvárajte URL odkazy vzbudzujúce podozrenie
    • V prípade využívania emailových aplikácií vypnite funkciu náhľadu do prílohy
    • V prípade podozrenia overte obsah správy u odosielateľa inou formou (telefonicky, osobne)
    • Nikdy nereagujte na správy žiadajúce akékoľvek osobné a citlivé údaje (prihlasovacie mená, heslá, údaje o platobných prostriedkoch)
  • Nikdy sa neprihlasovať na žiadnu službu priamo z URL adresy, ktorá prišla emailom a dbať na zvýšenú opatrnosť. Ak sa URL adresa úplne nezhoduje s oficiálnou URL adresou, môže ísť o škodlivú webstránku. Pri prihlasovaní sa do služieb používajte zaručené URL odkazy na webstránkach poskytovateľov služieb
  • Za žiadnych okolností nevpisovať svoje osobné/prihlasovacie údaje do webstránok, ktoré sú ľubovoľným spôsobom podozrivé alebo nemajú dôvod požadovať podobné informácie
  • Spoločnosť Microsoft alebo akékoľvek iné veľké spoločnosti nezasielajú e-mailové správy alebo nekontaktujú telefonicky svojich používateľov s cieľom vyžiadať osobné alebo finančné informácie, prípadne poskytnúť technickú podporu na opravu vášho počítača
  • Technická podpora akejkoľvek softvérovej spoločnosti nikdy nebude vyžadovať, aby ste platili za služby vo forme kryptomien alebo darčekovými poukazmi, ako google play card, paysafecard a pod. Útočníci často vyžadujú platbu prostredníctvom darčekových poukazov najmä kvôli ťažkej vystopovateľnosti
  • Udržujte svoje zariadenia aktualizované – nie len samotný operačný systém, ale aj všetky softvérové súčasti.

Zdroje

[1] https://www.checkpoint.com/press/2020/microsoft-is-most-imitated-brand-for-phishing-attempts-in-q3-2020/

[2] https://www.greathorn.com/blog-breaking-news-massive-cyberattack-propagating-via-redirector-domains-and-subsidiary-domains/

https://www.scmagazine.com/home/security-news/phishing/phishing-scams-use-redirects-to-steal-office-365-facebook-credentials/ 


« Späť na zoznam
Aktuálne hrozby
všetky oznámenia
Odkazy