Nul
En ny bølge af angreb, der er rettet mod Google og Yahoo-konti med henblik på at omgå to-faktor-autentificering samt kompromis brugere af sikker e-mail tjenester, forskere har advaret om.
På onsdag, i en ny rapport, udgivet af non-profit Amnesty International gav os et indblik i de indre funktioner af de seneste phishing-kampagner, der bruger en række forskellige teknikker til at infiltrere brugerens konti i hele Mellemøsten og Nordafrika.
I rapporten, siger forskerne, at flere kampagner, der er i gang, er sandsynligvis udført af samme trussel-gruppen med henblik på at målrette menneskeretsforkæmpere).
Den første kampagne involverer hundredvis af Google og Yahoo-konti, der er målrettet, hvilket resulterer i “vellykket bypass af almindelige former for to-faktor autentificering (2FA).”
Hele 2017 og 2018, Amnesty International blev givet kopier af mistænkelige e-mails sendt til Menneskerettighedsforkæmpere og journalister i Mellemøsten og Nordafrika. Efter en efterforskning, lod det til, at mange af ofrene for et phishing-kampagne, der stammer fra de Forenede Arabiske Emirater, Yemen, Egypten og Palæstina.
I dette scenario angribere sendt fabrikeret “security alert” – beskeder med det overordnede formål, at lokke ofre til skadelige domæner maskeret som legitime websteder, der tilhører Google og Yahoo. Disse var ofte drejet for at undgå driftsstop af registratorer.
Men hvad gør denne kampagne forskellige, er dens forsøg på at bekæmpe 2FA, et ekstra lag af sikkerhed, der gennemføres for at beskytte online-konti via adgangskoder ofte sendt til forbundet mobile enheder.
Phishing-site er designet til at indhente kontooplysninger samt 2FA kode, der kræves for at få adgang til kontoen. Når forskerne er logget ind på en af de svigagtige domæner ved hjælp af en smid-væk Gmail-adresse, de blev gjort opmærksom på, at en 2FA kode var blevet sendt — udløst af den automatiske ordning.
Det telefonnummer, der bruges til at oprette konto, har modtaget en SMS-besked. Phishing-side, der anmodes om koden, og når input, præsenterede det hold med en form, der beder dem om at ændre deres adgangskode, før du kan omlægge dem til et legitimt Google-login-side.
“I en fuldstændig automatiseret mode, angriberne formået at bruge vores password til at logge ind på vores konto, modtager fra os to-faktor-godkendelse kode, der sendes til vores telefon, og med tiden få os til at ændre password til kontoen,” nonprofit siger.
Da hele systemet er automatiseret, verifikation af kode, der kan bruges til at gå på kompromis en konto, før 2FA kuponer udløber.
Angrebet pågældende arbejdede på præcis samme måde, når de anvendes til Yahoo-konti.
“Trusselsbilledet er under konstant udvikling, og vi er forpligtet til at udvikle sig med det at hjælpe med at holde vores brugere sikre,” en Yahoo-talsmand sagde. “I 2015, har vi lanceret Yahoo-Konto, som ikke bruge SMS, og opfordre brugerne til at vedtage denne form for autentificering.”
Den anden kampagne, der har taget en anden vej og er specielt gå efter e-mail-tjenester, som markedsfører sig selv som sikker, sådan som Tutanota og ProtonMail.
CNET: russiske meningsdannere, der trivedes på Instagram efter pres på Facebook, Twitterter
De it-kriminelle har udnyttet sjældne muligheder, som, når de er beslaglagt, kan resultere i phishing-kampagner bliver langt mere effektive — registrering af domæner, der ser bemærkelsesværdigt ens for lovlige tjenester.
I dette tilfælde, at hackere var i stand til at registrere domænet tutanota.org — henviser til, at den legitime service er hostet på tutanota.com — og skabe en kopi af den rigtige e-mail-service.
Som brugere ville forvente online-tjenester til at eje disse primære domæner, de kan være mere følsomme over for phishing-meddelelser, der beder dem om at besøge disse links og input i deres legitimationsoplysninger, som derefter høstes.
“Disse falske websteder bruger også transport kryptering,” organisationen noter. “Dette gør det muligt for velkendt hængelås på venstre side af browserens adresselinje, som brugerne har gennem årene ofte blevet undervist i at se efter, når de forsøger at skelne mellem legitime og ondsindede websteder.”
TechRepublic: 5 største sikkerhedshuller i 2018
Brugerne vil ikke se noget forkert som når deres legitimationsoplysninger, der blev indtastet, en login-proces på den sande domæne ville blive indledt.
Hjemmesiden er tilsyneladende legitimitet førte til, at Amnesty International informere Tutanota, der anmodede om en takedown af phishing-websted.
ProtonMail var også et mål via phishing-domæne protonemail.ch, som tilføjede en ekstra “e”, som kunne nemt gå glip af at blive ofre. Dette område har siden da været lukket.
Se også: Fjern dig selv fra internet og slette din online tilstedeværelse
Amnesty International siger, at truslen aktører, der er ansvarlige sandsynligvis komme fra Golf-landene, og har potentielt målrettet tusindvis af Menneskerettighedsforkæmpere, journalister, politiske aktører og andre personer af interesse gennem phishing.
“Tilsammen, og disse kampagner er en påmindelse om, at phishing er en presserende trussel, og at der er større bevidsthed og klarhed over passende modforanstaltninger skal være tilgængelig for menneskerettighedsforkæmpere,” non-profit sagde.
ZDNet har nået ud til at Google og ProtonMail og vil opdatere, hvis vi hører tilbage.
Tidligere og relaterede dækning
Dette business-e-mail-svindel breder sig Trojanske heste via Google Cloud storageHackers har tjent $1,7 millioner så langt fra handel data stjålet fra OS gov betaling portalsFacebook forsvarer give tech-giganter adgang til omfattende bruger data
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0