С отменой ограничений COVID-19 и возвращением сотрудников в офисы хакеры вынуждены менять курс. В то время как удаленные сотрудники были основной целью мошенников в течение последних 18 месяцев из-за массового перехода на работу на дому, вызванного пандемией, новая фишинговая кампания пытается использовать тех, кто начал возвращаться на физическое рабочее место.
Кампания на основе электронной почты, наблюдаемая Cofense, нацелена на сотрудников с помощью электронных писем, которые якобы исходят от их ИТ-директора, приветствующего их обратно в офисы.
Электронное письмо выглядит достаточно легитимным: в заголовке есть официальный логотип компании, а также подпись, подделывающая имя ИТ-директора. Основная часть сообщения описывает новые меры предосторожности и изменения в бизнес-операциях, которые компания принимает в связи с пандемией.
Если бы сотрудника обманули электронным письмом, он был бы перенаправлен на то, что кажется Microsoft Страница SharePoint, на которой размещены два фирменных документа компании. «При взаимодействии с этими документами становится очевидным, что они не являются подлинными и представляют собой фишинговые механизмы для сбора учетных данных», – объясняет Дилан Мэйн, аналитик угроз в Центре защиты от фишинга Cofense.
Однако, если жертва решает взаимодействовать с каким-либо документом, появляется панель входа в систему и запрашивает у получателя учетные данные для доступа к файлам.
«Это редкость среди большинства Microsoft фишинговые страницы, где используется тактика подделки Microsoft экран входа в систему открывает панель аутентификатора », – продолжил Мэйн. «Придавая файлам вид реальных и не перенаправляя на другую страницу входа, пользователь может с большей вероятностью предоставить свои учетные данные для просмотра обновлений».
Еще один прием, который используют хакеры, – это использование поддельных проверенных учетных данных. Первые несколько раз данные для входа в систему будут введены в панель, результатом будет сообщение об ошибке, которое гласит: «Ваша учетная запись или пароль неверны».
«После ввода данных для входа несколько раз сотрудник будет перенаправлен на действующий Microsoft page », – говорит Мэйн. «Это создает впечатление, что информация для входа была правильной, и теперь у сотрудника есть доступ к документам OneDrive. На самом деле злоумышленник теперь имеет полный доступ к информации владельца учетной записи ».
Хотя это одна из первых кампаний, направленных на возвращающихся на рабочие места сотрудников (исследователи Check Point обнаружили еще одну в прошлом году), вряд ли она будет последней. И Google, и Microsoftнапример, начали приглашать сотрудников обратно в офисы, и около 75% руководителей ожидают, что по крайней мере 50% сотрудников вернутся к работе в офисе к июлю, согласно недавнему исследованию PwC.
Субъекты угроз обычно приспосабливаются к эксплуатации глобальной среды. Подобно тому, как переход к массовой работе через удаленные соединения привел к увеличению количества атак, пытающихся использовать учетные данные удаленного входа, вполне вероятно, что количество атак, нацеленных на локальные сети и офисных работников, будет продолжать расти в ближайшие месяцы. .