Mimecast zidentyfikowane Kampania phishingowa skierowana do brytyjskich organizacji sponsorujących pracowników migrujących i studentów, wykorzystując branding biura domowego w systemie zarządzania sponsoringiem (SMS) w celu naruszenia poświadczeń wykorzystywania finansowego i kradzieży danych.
Cyberprzestępcy wykorzystują branding w sprawie Home Office w nowo zidentyfikowanej kampanii phishingowej, atakując posiadaczy licencji sponsorów imigrantów w Wielkiej Brytanii uczestniczących w rządzie System zarządzania sponsoringiem. System ten jest przeznaczony przede wszystkim dla pracodawców sponsorujących wizy w kategoriach pracowników i tymczasowych pracowników, a także instytucje sponsorujące wizy w kategoriach uczniów i dzieci. Jego podstawowe funkcje obejmują zarządzanie tworzeniem i przypisaniem certyfikatów sponsoringowych dla potencjalnych pracowników lub studentów oraz zgłaszanie zmian okoliczności dla sponsorowanych imigrantów.
Kampania, zidentyfikowana przez Samantha Clarke, Hiwot Mendahun i Ankit Gupta z zespołu badawczego ds. Zagrożeń w Mimecast, specjalista ds. Bezpieczeństwa e -mail, wydaje się przede wszystkim starać się o naruszenie poświadczeń dla późniejszego wykorzystania finansowego i kradzieży danych. Zespół Mimecast stwierdził, że kampania ta stanowi znaczące zagrożenie dla brytyjskiego systemu imigracyjnego, a atakujący próbują ukarać dostęp do systemu zarządzania sponsoringiem w celu rozległego wykorzystania finansowego i danych.
Aktorzy zagrożenia wdrażają fałszywe e -maile, które podszywają się pod oficjalną komunikację domową, zwykle wysyłaną na ogólne adresy e -mail organizacyjne. Te e -maile zawierają pilne ostrzeżenia dotyczące problemów związanych z przepisami lub zawieszeniem konta i zawierają złośliwe linki, które przekierowują odbiorców do przekonania fałszywych stron logowania SMS zaprojektowanych do zbierania identyfikatorów użytkowników i haseł.
Systematyczny charakter kampanii zaczyna się od e -maili phishingowych, które początkowo wydają się ściśle naśladować prawdziwe powiadomienie o biurze domowym. Wiadomości te są przedstawiane jako pilne powiadomienia lub powiadomienia systemowe wymagające szybkiej uwagi. Jednak ich prawdziwym celem jest skierowanie użytkowników do udawania stron logowania w celu uchwycenia poświadczeń SMS -ów ofiar. Głębsza analiza techniczna przeprowadzona przez zespół MIMECAST ujawniła, że sprawcy wykorzystują URL bramkowanych przez CAPTCHA jako początkowe mechanizm filtrowania.
Następnie następuje przekierowanie na strony phishingowe kontrolowane przez atakującego, które są bezpośrednimi klonami prawdziwego artykułu. Te sklonowane strony zawierają kradzieży HTML, linki do oficjalnych aktywów rządowych w Wielkiej Brytanii oraz minimalne, ale krytyczne zmiany w procesie składania formularza. Zespół Mimecast zauważył, że aktorzy zagrożeń wykazują zaawansowane zrozumienie rządowych wzorców komunikacji i oczekiwań użytkowników w brytyjskim systemie imigracyjnym.
Cel tego ataku phishingowego wydaje się być dwojakie, kierując obie organizacje prawnie sponsorujące imigrantów do Wielkiej Brytanii i samych imigrantów. Po tym, jak uwierzytelniania SMS głównych ofiar są naruszone, atakujący dążą do wielu różnych celów monetyzacji. Wydaje się, że głównym spośród tych celów jest sprzedaż dostępu do kompromisowych kont na forach Dark Web, aby ułatwić wydawanie fałszywych certyfikatów sponsorowania (COS). Ponadto atakujący przeprowadzają ataki wymuszenia bezpośrednio na same organizacje. Bardziej zaciemniona i potencjalnie bardziej opłacalna, aleja wyzysku obejmuje tworzenie fałszywych ofert pracy i programów sponsoringowych wizowych. Podobno osoby, które chcą przenieść się do Wielkiej Brytanii, zostały oszukane przez tych cyberprzestępców do 20 000 funtów za to, co wydawało się uzasadnionymi wizami i ofertami pracy, które nigdy się nie zmaterializowały.
Mimecast wdrożył kompleksowe możliwości wykrywania swoich klientów, którzy mogą być zagrożone tą kampanią phishingową. Platforma bezpieczeństwa e -mail firmy ma na celu wykrywanie i blokowanie przychodzących wiadomości e -mail powiązanych z tą działalnością, a Mimecast nadal monitoruje wszelkie dalsze zmiany. Organizacje wykorzystujące usługę SMS powinny rozważyć wdrożenie kilku środków ochronnych. Obejmują one wdrażanie możliwości bezpieczeństwa e -mail w celu wykrycia rządowych podszywających się pod względem wzorców adresów URL oraz wdrażanie przepisywania adresów URL i piaskownicy w celu analizy linków przed interakcją użytkownika.
Zaleca się również ustanowienie i egzekwowanie uwierzytelniania wieloczynnikowego (MFA) w dostępie do SMS, często obracał te poświadczenia i monitorować rachunki SMS dla nietypowych wzorców dostępu lub lokalizacji logowania, które wydają się niespójne. Organizacje powinny angażować osoby z dostępem do SMS -ów w prawdziwą komunikację w sprawie domen domowych i oficjalne domeny e -mail, podkreślając znaczenie weryfikacji pilnych powiadomień przed podjęciem działań. Powinno to być połączone z ogólnym szkoleniem i symulacjami świadomości phishingowej. Ponadto konfigurowanie procedur weryfikacji komunikacji związanej z SMS, włączenie SMS-compromise w protokole reakcji incydentów oraz segregacja obowiązków SMS, gdzie to możliwe, może pomóc w zmniejszeniu scenariuszy pojedynczego punktu. Skontaktowano się z biurem domowym w sprawie komentarza na temat tej kampanii.
