Nul
Een nieuwe golf van aanvallen is getarget op zowel Google en Yahoo accounts om naar bypass-twee-factor authenticatie als compromis gebruikers van de beveiligde e-mail diensten, hebben onderzoekers gewaarschuwd.
Op woensdag, een nieuw rapport gepubliceerd door non-profit Amnesty International gaf ons een kijkje in de innerlijke werking van recente phishing campagnes die gebruik maken van een verscheidenheid van technieken om te infiltreren in de user accounts in het Midden-Oosten en Noord-Afrika.
In het rapport, de onderzoekers zeggen dat de verschillende campagnes zijn in volle gang, waarschijnlijk uitgevoerd door dezelfde bedreiging groep om gericht Mensenrechtenverdedigers).
De eerste campagne zijn er enkele honderden van Google en Yahoo accounts wordt gericht, resulterend in de “succesvolle omzeilen van gemeenschappelijke vormen van twee-factor authenticatie (2FA).”
In 2017 en 2018, Amnesty International kreeg kopieën van verdachte e-mails verstuurd aan Mensenrechtenverdedigers en journalisten in het Midden-Oosten en Noord-Afrika. Na onderzoek bleek dat veel van de slachtoffers van een phishing-campagne is ontstaan uit de Verenigde Arabische Emiraten, Jemen, Egypte en Palestina.
In dit scenario, de aanvallers worden verzonden gemaakt “security alert” berichten met de algemene doelstelling van het lokken slachtoffers kwaadaardige domeinen, vermomd als legitieme websites die eigendom zijn van Google en Yahoo. Deze waren vaak gedraaid om te voorkomen dat shutdowns door de registrars.
Maar wat maakt deze campagne anders is, is haar probeert te bestrijden 2FA, een extra laag van beveiliging getroffen ter beveiliging van de online-accounts via toegangscodes vaak naar gekoppelde mobiele apparaten.
De phishing-site werd ontworpen om te verkrijgen accountgegevens alsook de 2FA code nodig om toegang te krijgen tot het account. Zodra de onderzoekers aangemeld bij één van de frauduleuze domeinen met een wegwerp Gmail-adres, ze waren gewaarschuwd dat een 2FA code had gestuurd — veroorzaakt door de automatische regeling.
Het telefoon nummer dat wordt gebruikt om de account te maken heeft ontvangen van een SMS-bericht. De phishing-pagina gevraagd de code en zodra ingang, presenteerde het team met een formulier hen te vragen om hun wachtwoord wijzigen voordat u doorstuurt naar een legitieme Google login pagina.
“In een volledig geautomatiseerde wijze de aanvallers erin geslaagd om ons wachtwoord in om in te loggen in uw account, krijgt van ons de twee-factor authenticatie code verzonden naar onze telefoon, en uiteindelijk vraagt ons om het wachtwoord te wijzigen voor onze rekening,” de non-profit zegt.
Als het gehele systeem is geautomatiseerd, de verificatie code kan worden gebruikt om compromissen te sluiten van een account voor 2FA fiches te vervallen.
De aanval in kwestie werkte op precies dezelfde manier als het wordt toegepast in Yahoo accounts.
“De bedreiging van het landschap is voortdurend in ontwikkeling, en we zijn toegewijd aan het ontwikkelen, en te helpen om onze gebruikers te beschermen,” een Yahoo-woordvoerder gezegd. “In 2015 zijn we gestart Yahoo-Account Sleutel, die geen gebruik maken van SMS, en moedigen gebruikers aan te nemen met deze vorm van verificatie.”
De tweede campagne heeft een andere route en is specifiek gaan na e-mail diensten die op de markt zelf zo veilig, zoals Tutanota en ProtonMail.
CNET: russische beïnvloeders bloeide op Instagram nadat de druk op Facebook, Twitterter
De cybercriminelen hebben misbruikt zeldzame kansen die toen in beslag genomen, kan leiden tot phishing campagnes steeds effectiever — de registratie van domeinen die er opvallend vergelijkbaar met legitieme diensten.
In dit geval, de hackers waren in staat om te registreren het domein tutanota.org — overwegende dat de legitieme service wordt gehost op tutanota.com — en het maken van een replica van de echte e-mail service.
Als gebruikers zou verwachten dat de online services van deze primaire domeinen, ze kunnen meer gevoelig voor phishing-berichten vragen we hen naar dergelijke links en voeren hun referenties, die vervolgens kunnen worden geoogst.
“Deze nep-sites gebruiken ook vervoer encryptie,” de organisatie notities. “Dit kunnen de erkende hangslot aan de linkerkant van de adresbalk van de browser, waarmee gebruikers hebben in de loop der jaren vaak geleerd om te kijken voor wanneer u probeert om onderscheid te maken tussen legitieme en kwaadaardige sites.”
TechRepublic: 5 grootste kwetsbaarheden in de beveiliging van 2018
Gebruikers zouden niet zie niets kwalijk als eenmaal hun referenties werden ingevoerd, een login-procedure op de werkelijke domein zou worden ingeleid.
De website van de schijn van legitimiteit geleid tot Amnesty International informeren Tutanota, die verzocht om een takedown van de phishing-website.
ProtonMail was ook een slachtoffer via de phishing domain protonemail.ch, die een extra “e” die gemakkelijk kunnen worden gemist door de slachtoffers. Dit domein is sindsdien gesloten.
Zie ook: Verwijder jezelf van het internet en wissen van uw online aanwezigheid
Amnesty International zegt dat de dreiging actoren die verantwoordelijk zijn waarschijnlijk komen van de landen in de Golf, en hebben mogelijk gerichte duizenden van Mensenrechtenverdedigers, journalisten, politici en andere personen van belang door middel van de phishing.
“Bij elkaar genomen, deze campagnes zijn een herinnering aan het feit dat phishing is een dringende bedreiging en dat er meer bewustzijn en helderheid over de juiste tegenmaatregelen moet beschikbaar zijn voor verdedigers van de mensenrechten,” de non-profit zei.
ZDNet heeft bereikt uit Google en ProtonMail en zal updaten als we horen terug.
Vorige en aanverwante dekking
Deze zakelijke e-mails verspreidt Trojaanse paarden via Google Cloud storageHackers hebben verdiend $1.7 miljoen zo ver van de handel data gestolen van ONS gov betaling portalsFacebook verdedigt geven tech reuzen toegang tot de uitgebreide gegevens van de gebruiker
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0