התגלתה טכניקת פישינג חדשה המנצלת אתAdobe InDesign
מאת:
מערכת Telecom News, 27.2.22, 11:15
הטכניקה כוללת 2 אלמנטים מרכזיים, שיחד הופכים את התקיפה לכמעט בלתי אפשרית לזיהוי ע"י פתרונות אבטחה רגילים. מטרת התקיפה היא גניבת פרטים אישיים, הרשאות ומסמכים של משתמשי מייקרוסופט.
חטיבת המחקר של דאטו, ספקית לפתרונות אבטחת מידע וענן, שפותחו במיוחד עבור ספקי שירותי מחשוב, מצאה טכניקת פישינג חדשה, ממנה היא מזהירה. בעוד ניסיון התקיפה נראה בעבר, הוא לא זוהה עד כה כתקיפת פישינג.
הטכניקה כוללת 2 אלמנטים מרכזיים, שיחד הופכים את התקיפה לכמעט בלתי ניתנת לזיהוי ע"י פתרונות אבטחה רגילים. התקיפה ממנפת את המוניטין והאמינות של
Adobe InDesign ובנוסף, הלינק הזדוני מוחבא היטב בתוך
iframe . כך, שפתרונות אבטחה אינם סורקים אותו.
מטרת התקיפה, בדומה להתקפות פישינג אחרות, היא גניבת פרטים אישיים, הרשאות ומסמכים של משתמשי מייקרוסופט. זאת, ע"י שליחת מייל המפתה את הקורא ללחוץ על לינק ולהיכנס למסמך משותף המוביל לעמוד בית לגיטימי של
InDesign. בחלק מהמקרים הלינק חבוי בתוך הקישורים כמו "פתח מסמך" או "ראה קובץ"
.
כדי לחמוק מפתרונות אבטחה רגילים, התוקפים ניצלו את הלגיטימציה של פלטפורמת
Adobe InDesign.
- הדומיין הוא דומיין מוכר ואמין. החבאת פישינג בדפי אינטרנט מוכרים לציבור (שנחשבים בטוחים גם ע"י פתרונות אבטחה) כמו google drive, onedrive או dropbox הוא טריק ידוע. אולם, זה הניסיון הראשון במינוף הדומיין של INDESIGN
- החבאת הלינקים בתוך הIframes- במקום בתוך לינקים. מרבית פתרונות האבטחה אינם יודעים, שמדובר בלינק ולכן לא סורקים אותו.
- עוד ניצול חולשה בפלטפורמה היא אפשריות עיצוב מגוונות המסייעת לתוקפים להטעות קורבנות.
- מעל לאלה, התוקפים לא כללו את ה-URL הזדוני באי מייל עצמו אלא השתמשו בעמודindesign כמתווך הנראה בטוח לרוב פתרונות האבטחה.
ניסיונות הפישניג הופכות ליותר ויותר מתוחכמות ומשלבות טכניקות מתקדמות. מציאות זו מקשה מאוד על חברות הפועלות לשמור על אבטחתם של העובדים ונכסי החברה וגם על ספקי אבטחה חיצוניים המסייעים להם.
כיצד ניתן להתגונן?
כדי לשמור מאיומים כאלה ומשיטות פישינג ההולכתו והפוכות למתוחכמות יותר, על ארגונים וחברות להשתמש בפתרונות האבטחה המתקדמים ביותר בנוסף לאבטחת המיילים השגרתית - פתרונות אבטחה היכולים להגן עליהם מכל ניסיונות הפישינג בשלל טכניקות, גם אלה שעדיין אינן מוכרות או אינן נפוצות.
רותם שמש, מנהלת שיווק מוצרי אבטחה בכירה בדאטו: "במקרה הזה התוקפים מינפו את הפלטפורמה ב-3 דרכים: ניצלו את הדומיין של
adobe שהוא אמין ומוכר, ניצלו את היותו פלטפורמת עיצוב - עיצבו את עמוד האינטרנט הזדוני כרצונם והחביאו את ה-
URL הזדוני בשיטה ש
Adobe Indesign-מאפשר. שילוב הטקטיקות הללו מייחד את התקיפה ומאפשר לה לא להתגלות ע"י פתרונות אבטחת אימייל סטנדרטיים".