נחשף קמפיין פישינג המנסה לגנוב פרטי אשראי ממשתמשי מיקרוסופט 365 בישראל
מאת:
מערכתTelecom News , 22.7.21, 14:22
הקמפיין המתוחכם מוביל את הקורבנות במסע הרוכש את אמונם ודוחף אותם למסור גם את פרטי חשבונות מיקרוסופט 365 שלהם וגם את פרטי האשראי. איך עובד מסלול ההונאה הארוך בעל 8 השלבים? איך מתגוננים?
המומחים של
ביטדאם, מרכז פיתוח הסייבר של ספקית שירותי המחשוב האמריקאית דאטו, זיהו בחודש האחרון סוג חדש ומטריד של קמפיין פישינג המכוון נגד משתמשי שירותי 365 של מיקרוסופט, שהצליח להפיל בחכתו גם משתמשים ישראליים.
בניגוד למרבית הקמפיינים, שמנסים לגנוב "רק" את פרטי החשבון של המשתמשים, הקמפיין החדש הולך כמה צעדים הלאה ומנסה לגנוב גם את פרטי התשלום וכרטיס האשראי. הקמפיין הצליח לעקוף מגוון רחב של פתרונות אבטחה לאימייל, שמשמשים ספקי שירותי מחשוב, כולל כאלה הטוענים, שהם מצליחים להגן על שירותי 365 גם מאיומים מתקדמים.
מסורתית, קמפייני פישינג לגניבת פרטי זיהוי לחשבונות מיקרוסופט 365 משתמשים בתירוצים כמו "
XXX שיתף איתך מסמך" או "הודעה קולית חדשה מחכה לך". הודעות אלו מנסות לפתות משתמשים להקליק על לינק זדוני, שיעביר אותם לעמוד המתחזה לעמוד כניסת משתמש לשירותי 365, שבו יכניסו את פרטי המשתמש שלהם (שם משתמש וסיסמה). בקמפיין שזוהה עתה, התוקפים התעלו על עצמם ובנו מסע שלם בניסיון להונות את המשתמשים ולגרום להם לספק להם את גם את פרטי האשראי שלהם.
כך עובד מסלול ההונאה:
1) כותרת המייל, שנשלח לקורבן הפישינג, היא "בדוק את חשבון המיקרוסופט 365 ביזנס פרימיום שלך!", או "קנה מנוי כדי להמשיך להשתמש במוצר שלך!". 2 המקרים משדרים לקורבן תחושה של דחיפות כדי לדרבן אותו לפתוח את המייל הזדוני.
2) שולח האימייל הזדוני הוא
compass@compass.email, אך הוא מתחזה להגיע מ-
Microsoft.com או מ-
Support, וכך גורם למשתמש התמים להאמין, שמדובר בדבר דואר בטוח, שהגיע משולח לגיטימי. דבר זה תואם את העובדה, שהמייל עוסק בחידוש מנוי לחשבון פרימיום למיקרוסופט 365, ולכן אין לקורבן סיבה לחשד.
3) גוף המייל עצמו משתמש בלוגואים של מיקרוסופט ושל אופיס 365, ונראה יחסית משכנע. (ראו בתמונה).
4) לחיצה על הטקסט "
Sign In" בגוף המייל מביאה את הלקוח לעמוד המתחזה בצורה משכנעת לעמוד כניסת משתמש לשירותי מיקרוסופט.
5) לאחר שהקורבן הזין את פרטי חשבון המשתמש שלו מוצגת לו הודעה המסבירה מדוע עליו לספק את פרטי כרטיס האשראי שלו (ראו תמונה).
6) רק לאחר שהמשתמש לחץ על כפתור ה-"
Confirm" הוא מתבקש להזין את פרטי כרטיס האשראי שלו (ראו תמונה).
7) כדי להפחית עוד יותר את חשדות המשתמש, לאחר שהזין את פרטי כרטיס האשראי מוצגת לו הודעת אישור תשלום והוא מופנה לעמוד אמיתי של שירותי מיקרוסופט.
8) עם סיום המסע, התוקף מחזיק כעת גם בפרטי חשבון המיקרוסופט 365 וגם פרטי כרטיס האשראי של הקורבן.
החקירה שביצעו המומחים של ביטדאם חשפה, כי שכל פעולה להכנסת מידע מצד המשתמש גוררת בקשת מידע נפרדת ומודיעה לתוקף כי העלה בחכתו פיסה חדשה של מידע:
- נשלחה בקשה לקבלת כתובת המייל של הקורבן.
- נשלחה בקשה לקבלת הסיסמה של הקורבן.
- נשלחה בקשה לקבל פרטי כרטיס האשראי של הקורבן.
בדרך זו, גם אם בשלב כלשהו בתהליך מתעורר חשדו של המשתמש, המידע, שסיפק עד לרגע זה, כבר נשלח למבצע הפישינג. מעבר לכך, מרגע שהתוקפים רכשו את אמונו של הקורבן בשלבים המוקדמים, סביר יותר, שהוא ימשיך לבטוח בהם ולספק גם את פרטי האשראי כשיתבקש לכך.
תקיפה זו מתוחכמת משום שהמסע הארוך, שהיא מוליכה בו את המשתמש משלב אלמנטים של הנדסה חברתית, שרוכשים את אמון המשתמש, ובו בעת מטעים גם מנגנוני אבטחת מידע. התקיפה תוכננה באופן המבטיח את איסוף המידע בכל אחד משלבי המסע, וגם מידע חלקי בלבד, שהיא מעלה, הוא בעל ערך רב עבור התוקפים.
איך להתגונן מתקיפות פישינג
מומלץ להציב את סמן העכבר מעל ללינק, שמופיע בגוף האימייל, ולרחף מעליו בלי להקליק, וכך לראות את הכתובת המקושרת ולוודא, שזה אכן אתר אמיתי של מיקרוסופט.
ארגונים רבים משתמשים בכלים לשכתוב כתובות
URL באימייל, שמונעות מהמשתמש לראות את כתובת היעד לפני לחיצה על הקישור. במקרה כזה אפשר ללחוץ על הלינק אך בכל מקרה אין להכניס את פרטי החשבון או את פרטי כרטיס האשראי.
בנוסף, מומלץ לבדוק את כתובת המייל, שממנה נשלח האימייל, באמצעות הצבת וריחוף סמן העכבר מעל הכתובת. אם לא מדובר בכתובת מוכרת, עדיף לא ללחוץ על הלינק בגוף המייל.
הכי חשוב, עשו לעצמכם כלל: אם אימייל מציע לכם משהו שלא ציפיתם לו -
התחילו לחשוד.