מזונות חשובים
- תוקפים מאחורי תוכנה זדונית גונבת סיסמה משתמשים בשיטות חדשניות כדי לגרום לאנשים לפתוח הודעות דוא"ל זדוניות.
- התוקפים משתמשים בתיבת הדואר הנכנס שנפרצה של איש קשר כדי להכניס את הקבצים המצורפים עמוסי תוכנות זדוניות לשיחות דוא"ל מתמשכות.
-
חוקרי אבטחה מציעים שהמתקפה מדגישה את העובדה שאנשים לא צריכים לפתוח באופן עיוור קבצים מצורפים, אפילו אלה מאנשי קשר ידועים.
זה עשוי להיראות מוזר כאשר חבר שלך קופץ לשיחת דוא ל עם קובץ מצורף שחצי ציפית לו, אבל ספק בלגיטימיות של ההודעה יכול להציל אותך מתוכנות זדוניות מסוכנות.
מלשי אבטחה ב-Zscaler שיתפו פרטים על שחקני איומים המשתמשים בשיטות חדשות בניסיון לעקוף את הזיהוי, כדי להפיץ סיסמה חזקה הגונבת תוכנה זדונית בשם Qakbot. חוקרי אבטחת סייבר נבהלים מהתקיפה, אך אינם מופתעים מכך שתוקפים משכללים את הטכניקות שלהם.
"פושעי הסייבר מעדכנים כל הזמן את התקפותיהם כדי לנסות להימנע מגילוי ובסופו של דבר להשיג את מטרותיהם", אמר ג'ק צ'פמן, סמנכ"ל מודיעין האיומים ב-Egress, ל-Lifewire באימייל. "אז גם אם אנחנו לא יודעים ספציפית מה הם ינסו אחר כך, אנחנו יודעים שתמיד תהיה פעם הבאה, ושההתקפות מתפתחות כל הזמן."
האקר השכונה הידידותית
בפוסט שלהם, Zscaler מפעיל את טכניקות הערפול השונות שהתוקפים נוקטים כדי לגרום לקורבנות לפתוח את האימייל שלהם.
זה כולל שימוש בשמות קבצים מפתים עם פורמטים נפוצים, כגון. ZIP, כדי להערים על קורבנות להוריד את הקבצים המצורפים הזדוניים.
ערפול תוכנות זדוניות היא טקטיקה פופולרית כבר שנים רבות, שיתף צ'פמן, ואמר שהם ראו התקפות מוסתרות במספר סוגי קבצים שונים, כולל קובצי PDF וכל סוג מסמך של Microsoft Office.
"התקפות סייבר מתוחכמות מתוכננות כדי לעמוד בסיכוי הטוב ביותר להשיג את יעדיהן", אמר צ'פמן.
מעניין, Zscaler מציין שהקבצים המצורפים הזדוניים מוכנסים כתשובות בשרשורי אימייל פעילים. שוב צ'פמן לא מופתע מההנדסה החברתית המתוחכמת שמשחקת בהתקפות הללו. "ברגע שהמתקפה הגיעה למטרה, פושע הסייבר צריך שהם ינקטו פעולה - במקרה זה, כדי לפתוח את הקובץ המצורף למייל", שיתף צ'פמן.
Keegan Keplinger, מוביל מחקר ודיווח ב-eSentire, שזיהה וחסם תריסר תקריות מסע פרסום של Qakbot ביוני בלבד, הצביע גם על השימוש בתיבות דואר נכנס שנפגעו כגולת הכותרת של המתקפה.
"הגישה של Qakbot עוקפת בדיקות של אמון אנושי, ויש סיכוי גבוה יותר שמשתמשים יורידו ויבצעו את המטען, מתוך מחשבה שזה ממקור מהימן", אמר קפלינגר ל-Lifewire באימייל.
אדריאן ג'נדר, מנהל טכנולוגיה ומוצר ראשי ב-Vade Secure, ציין שהטכניקה הזו שימשה גם בהתקפות Emotet של 2021.
"משתמשים מאומנים בדרך כלל לחפש כתובות דוא"ל מזויפות, אבל במקרה כזה, בדיקת כתובת השולח לא תועיל מכיוון שזו כתובת לגיטימית, אם כי בסיכון", אמר ג'נדרה ל-Lifewire ב- דיון באימייל.
הסקרנות הרגה את החתול
Chapman אומר שבנוסף לניצול מערכת היחסים הקיימת והאמון הקיים בין האנשים המעורבים, השימוש של תוקפים בסוגי קבצים ותוספות נפוצות מביא לכך שהנמענים חשדנים פחות וסביר יותר לפתוח את הקבצים המצורפים הללו.
פול ביירד, קצין אבטחה טכני ראשי בבריטניה ב-Qualys, מציין שלמרות שהטכנולוגיה צריכה לחסום סוגים אלה של התקפות, חלקן תמיד יחמוקו.הוא מציע ששמירה על מודעות לאיומים הנוכחיים בשפה שהם יבינו היא הדרך היחידה לבלום את ההתפשטות.
"על המשתמשים להיזהר, ולהתאמן, שאפילו כתובת דוא"ל מהימנה עלולה להיות זדונית אם נפגעת", הסכים ג'נדר. "זה נכון במיוחד כאשר הודעת אימייל כוללת קישור או קובץ מצורף."
Gendre מציע לאנשים לקרוא בעיון את האימיילים שלהם כדי להבטיח שהשולחים הם מי שהם טוענים שהם. הוא מציין כי הודעות דוא ל שנשלחות מחשבונות שנפגעו הם לרוב קצרים ולעניין עם בקשות בוטות מאוד, וזו סיבה טובה לסמן את המייל כחשוד.
בנוסף לכך, ביירד מציין כי האימיילים שנשלחו על ידי Qakbot ייכתבו בדרך כלל בצורה שונה בהשוואה לשיחות שאתה מנהל בדרך כלל עם אנשי הקשר שלך, מה שאמור לשמש עוד תמרור אזהרה. לפני אינטראקציה עם קבצים מצורפים באימייל חשוד, ביירד מציע לך להתחבר לאיש הקשר באמצעות ערוץ נפרד כדי לאמת את האותנטיות של ההודעה.
"אם אתה מקבל אימייל כלשהו [עם] קבצים [אתה] לא מצפה, אז אל תסתכל עליהם", היא העצה הפשוטה של ביירד. "המשפט 'הסקרנות הרגה את החתול' חל על כל דבר שאתה מקבל באימייל."
