Σύμφωνα με μια νέα έκθεση της Palo Alto Networks Unit 42, οι εγκληματίες του κυβερνοχώρου καταχρώνται ολοένα και περισσότερο νόμιμες πλατφόρμες software-as-a-service (SaaS), όπως website builders και personal branding spaces, για κακόβουλα phishing sites που κλέβουν credentials.
Αντί να δημιουργούν σελίδες phishing από την αρχή, οι εγκληματίες κάνουν κατάχρηση των νόμιμων πλατφορμών για να φιλοξενήσουν τις σελίδες ηλεκτρονικού “ψαρέματος”. Δεδομένου ότι αυτές οι διευθύνσεις URL φιλοξενούνται σε νόμιμα domains, είναι πιο δύσκολο να εντοπιστούν από μηχανές εντοπισμού phishing.
Δείτε επίσης: Twitter Whistleblower: Τρομερές αποκαλύψεις από πρώην στέλεχος
Οι ερευνητές αναφέρουν στην έκθεση ότι έχουν δει μια απότομη αύξηση στις phishing επιθέσεις που κάνουν κατάχρηση των πλατφορμών SaaS. Για να μιλήσουμε με νούμερα, μιλάμε για μια αύξηση της τάξης του 1.100% από τον Ιούνιο του 2021 έως τον Ιούνιο του 2022.
Αυτή η αύξηση οφείλεται στα πλεονεκτήματα που έχει η χρήση SaaS για phishing επιθέσεις. Αυτά περιλαμβάνουν την αποφυγή ειδοποιήσεων από συστήματα ασφαλείας email και την υψηλή διαθεσιμότητα, ενώ επίσης οι επιτιθέμενοι δεν χρειάζεται να μάθουν πώς να κάνουν κώδικα για να δημιουργήσουν sites που να φαίνονται νόμιμα. Επιπλέον, επειδή οι πλατφόρμες SaaS απλοποιούν τη διαδικασία δημιουργίας νέων sites, οι φορείς phishing επιθέσεων μπορούν εύκολα να μεταβούν σε διαφορετικά θέματα, να κλιμακώσουν ή να διαφοροποιήσουν τις δραστηριότητές τους και να ανταποκρίνονται γρήγορα σε αναφορές και καταργήσεις.
Unit 42: Κατάχρηση νόμιμων υπηρεσιών για phishing
Οι ερευνητές της Unit 42 έχουν χωρίσει τις πλατφόρμες που καταχρώνται οι hackers σε έξι κατηγορίες: sites κοινής χρήσης και φιλοξενίας αρχείων, form και survey builders, website builders, πλατφόρμες λήψης σημειώσεων και documentation και personal portfolio spaces.
Τα συστήματα φιλτραρίσματος της Palo Alto Networks κατέγραψαν αύξηση της κατάχρησης σε όλες τις κατηγορίες SaaS πλατφορμών, αλλά οι πιο μεγάλες αυξήσεις παρατηρήθηκαν σε website builders, πλατφόρμες συνεργασίας και form builders.
Δείτε επίσης: CISA: Κρίσιμη ευπάθεια στο PAN-OS χρησιμοποιείται για επιθέσεις
Το 2021, η Cyren ανέφερε αυξημένη κατάχρηση του “typeform.com” για phishing, μια παλαιότερη αναφορά από την Trend Micro ανέφερε τα “123formbuilder.com”, “formtools.com” και “smartsurvey.co.uk”, ενώ η Cofense τόνισε την κατάχρηση του “Canva.com”.
Πώς χρησιμοποιούνται οι υπηρεσίες;
Η αναφορά της Unit 42 εξηγεί ότι σε πολλές περιπτώσεις, οι φορείς phishing επιθέσεων φιλοξενούν τις σελίδες κλοπής credentials απευθείας στις υπηρεσίες που έχουν υποστεί κατάχρηση. Έτσι στέλνουν ένα email στους στόχους που περιέχει μια διεύθυνση URL που οδηγεί στη συγκεκριμένη phishing σελίδα.
Σε άλλες περιπτώσεις, οι κακόβουλες σελίδες προορισμού που φιλοξενούνται στις υπηρεσίες που έχουν καταχραστεί, δεν περιέχουν τις ίδιες τις φόρμες κλοπής credential. Αντίθετα, μεταφέρουν το θύμα μέσω ενός ακόμη βήματος ανακατεύθυνσης σε έναν άλλο ιστότοπο.
“Σε περίπτωση που καταργηθεί η τελική σελίδα κλοπής credentials, ο εισβολέας μπορεί απλώς να αλλάξει τον σύνδεσμο και να υποδείξει μια νέα σελίδα κλοπής credentials, διατηρώντας την αποτελεσματικότητα της αρχικής καμπάνιας“, αναφέρουν οι ερευνητές.
Δείτε επίσης: Πάνω από 80.000 κάμερες Hikvision ευάλωτες σε κρίσιμη ευπάθεια
Η κατάχρηση SaaS πλατφορμών για phishing επιθέσεις θα συνεχιστεί
Η διακοπή της κατάχρησης νόμιμων πλατφορμών SaaS θα είναι πολύ δύσκολη, καθώς η εφαρμογή επιθετικών φίλτρων email σε αυτές τις υπηρεσίες δεν αποτελεί επιλογή. Αυτό ακριβώς είναι που τις κάνει τόσο κατάλληλες για εκστρατείες phishing.
Επομένως, πρέπει να είστε πολύ προσεκτικοί με τα emails που λαμβάνετε. Εάν λάβετε μηνύματα που σας ζητούν να κάνετε κάτι γρήγορα ή κάτι που σας φαίνεται περίεργο, αποφύγετε να κάνετε κλικ σε ενσωματωμένους συνδέσμους ή κουμπιά. Αντίθετα χρησιμοποιήστε μια μηχανή αναζήτησης για να εντοπίσετε τον επίσημο ιστότοπο της δυνητικά πλαστογραφημένης πλατφόρμας.
Κάθε φορά που σας ζητείται να εισαγάγετε τα credentials του λογαριασμού σας, βεβαιωθείτε ότι βρίσκεστε στη νόμιμη διεύθυνση URL του ιστότοπου προτού αρχίσετε να πληκτρολογείτε στα πλαίσια φόρμας.
Πηγή: www.bleepingcomputer.com
, όπως website builders){kind=link}