Brīdinājums par mērķētu uzbrukumu (spear-phishing) kampaņu
CERT.LV brīdina par aktīvu mērķētu uzbrukumu (spear-phishing) kampaņu, kas vērsta pret valsts iestāžu darbiniekiem.
Uzbrukuma mērķis saņem kolēģa vārdā sūtītu e-pastu. Dažos gadījumos “From” laukā tiek norādīts reāls darbinieka e-pasts, citreiz tiek izmantots tikai darbinieka vārds, bet e-pasta adrese tiek norādīta sveša (uz cita domēna). Šis aspekts varētu būt atkarīgs no tā, vai organizācijas domēnam ir iespējota DMARC un SPF kombinācija, vai nē.
E-pasta teksts ir latviešu valodā un satur saiti (URL), kurai 'href' atribūts atšķiras no 'title' atribūta. URL aprakstā ir norādīts kāds resurss, kas atrodas uz šīs pašas organizācijas domēna, bet, klikšķinot uz tā, lietotājs patiesībā tiek pāradresēts uz citu domēnu (šobrīd tiek lietots ms-network-gate[.]com).
Atverot pikšķerēšanas saiti, lietotājam tiek attēlota viņa organizācijas webmail vai Outlook Web App autorizācijas lapas kopija (pielāgota, personalizēta), bet, ievadot tajā pieejas datus, lietotājs tiek pāradresēts uz kādu reālu, ar uzbrukumu nesaistītu vietni vai rakstu, kas tika minēta arī sākotnējā e-pasta tekstā, līdz ar to lietotājam var nešķist aizdomīgs tikko notikušais autorizācijas pieprasījums, un uzbrukums var paslīdēt garām nepamanīts.
CERT.LV iesaka:
- informēt lietotājus par datu izkrāpšanas kampaņu;
- nobloķēt piekļuvi domēnam, kas tiek asociēts ar šo kampaņu: ms-network-gate[.]com;
- pārbaudīt, vai darbinieki ir saņēmuši līdzīgus e-pastus un vai kāds no viņiem ir apmeklējis pikšķerēšanas vietni;
- pārliecināties, ka izmantotais anti-spam risinājums atpazīst saites, kurām lietotājam redzamais apraksts satur URL, kas atšķiras no faktiskā;
- veikt publiski pieejamo Outlook Web App, Office 365 un Single Sign-On portālu monitoringu, lai konstatētu neatpazītu IP pieslēgumus no neparastām vietām, neparastos laikos, pieslēgumus pie vairāku lietotāju kontiem no vienas IP adreses, utt.
Attēls: pixabay.com