Hienostunut tietojenkalastelukampanja on suunnattu brittiläisille organisaatioille, jotka sponsoroivat siirtotyöläisiä ja opiskelijoita hyödyntäen aitoja kotitoimistot tuotemerkkien kompromisseja valtakirjojen kompromisseja hallituksen sponsoroinnin hallintajärjestelmässä (SMS). Tämä Mimecastin uhkatutkimusryhmän tunnistama kampanja on merkittävä uhka Yhdistyneen kuningaskunnan maahanmuuttojärjestelmälle, mikä mahdollisesti johtaa laajaan taloudelliseen hyväksikäyttöön ja tietovarkauksiin.
SMS on kriittinen alusta työnantajille, jotka sponsoroivat viisumia työntekijöiden ja väliaikaisten työntekijöiden luokissa sekä oppilaitoksille, jotka tukevat viisumia opiskelijoiden ja lasten kategorioissa. Sen ensisijaisiin tehtäviin sisältyy sponsorointitodistusten luominen ja antaminen potentiaalisille työntekijöille tai opiskelijoille ja sponsoroitujen maahanmuuttajien olosuhteiden ilmoittaminen. Hyökkääjien tavoitteena on saada luvaton pääsy tähän järjestelmään erilaisista laittomista taloudellisista hyötyistä.
Samantha Clarken, Hiwot Mendahunin ja Mimecastin Ankit Guptan mukaan kampanjassa on vilpillisiä sähköposteja, jotka edustavat huolellisesti virallista kotitoimistoviestintää. Nämä sähköpostit lähetetään yleensä yleisiin organisaation sähköpostiosoitteisiin, jotka välittävät kiireellisiä varoituksia vaatimustenmukaisuuskysymyksistä tai tilin keskeyttämisestä. Viestit sisältävät haitallisia linkkejä, jotka ohjaavat vastaanottajat erittäin vakuuttaviin väärennettyihin SMS -kirjautumissivuihin, jotka on suunniteltu korjaamaan käyttäjätunnuksia ja salasanoja.
Mimecastin tekninen analyysi paljastaa hyökkääjien edistyneet menetelmät, mukaan lukien captcha-porteilla olevien URL-osoitteiden käyttö alkuperäisenä suodatusmekanismina. Tätä seuraa uudelleenohjaus hyökkääjien ohjaamiin tietojenkalastelusivuihin, jotka ovat aidon SMS-kirjautumisportaalin välittömiä klooneja. Näihin kloonattuihin sivuihin sisältyy pilferoitu HTML, yhteydet Ison -Britannian viralliseen omaisuuteen ja minimaaliset, mutta kriittiset muutokset lomakkeen lähetysprosessiin. Mimecast -tiimi totesi: ”Uhkien toimijat osoittavat edistyneen ymmärryksen hallituksen viestintämalleista ja käyttäjien odotuksista Yhdistyneen kuningaskunnan maahanmuuttojärjestelmässä.”
Tämän tietojenkalasteluhyökkäyksen tavoitteet näyttävät olevan kaksinkertaiset, jotka kohdistuvat molemmille organisaatioille, jotka tukevat laillisesti maahanmuuttajia Yhdistyneeseen kuningaskuntaan ja itse maahanmuuttajiin. Kun hyökkääjät kompromissit tekstiviestitiedot, he pyrkivät useita kaupallistamistavoitteita. Ensisijaisena tavoitteena on tumman verkkofoorumeiden vaarantuneiden tilien pääsyn myynti väärennettyjen sponsorointitodistusten (COS) antamisen helpottamiseksi. Niiden tavoitteena on myös suorittaa kiristyshyökkäyksiä suoraan vaarantuneille organisaatioille.
Salakavalamaisempi ja mahdollisesti tuottoisampi hyväksikäyttökadulla on väärennettyjen työpaikkojen ja viisumin sponsorointijärjestelmien luominen. Tietokone viikoittain ymmärtää, että jotkut loppupään uhrit, yksilöt, jotka pyrkivät muuttamaan Yhdistyneeseen kuningaskuntaan, ovat petetty merkittävistä summista. Raportit osoittavat, että tappiot ovat jopa 20 000 puntaa näennäisesti laillisista viisumista ja työtarjouksista, joita ei koskaan toteutettu.
Vastauksena tähän kampanjaan Mimecast on jo toteuttanut sähköpostiturvallisuusalustansa kattavat havaitsemisominaisuudet, jotta saapuvat sähköpostit tunnistavat ja estävät. Yhtiö seuraa edelleen näitä uhkia koskevia uusia kehityksiä.
SMS -palvelua hyödyntäville organisaatioille Mimecast suosittelee useita tärkeitä vaiheita heidän turvallisuusasennon parantamiseksi:
- Ota sähköpostien suojausominaisuudet: Toteuta ratkaisut, jotka voivat havaita hallituksen esiintymisen ja epäilyttävät URL -osoitteet. Tähän sisältyy URL -osoitteen uudelleenkirjoittaminen ja hiekkalaatikko linkkien analysoimiseksi ennen käyttäjän vuorovaikutusta.
- Valmista monitekijän todennus (MFA): Luo ja pane MFA: n SMS -pääsyyn. Organisaatioiden tulee myös kiertää näitä valtakirjoja usein ja seurata SMS -tilejä epätavallisista pääsykuvioista tai kirjautumispaikoista.
- Tarjoa kattava koulutus: Kouluta henkilöstöä, jolla on tekstiviesti pääsy aitoon kotitoimistoviestinnään ja virallisiin sähköpostiverkkoihin. Korosta kiireellisten ilmoitusten todentamisen tärkeys ennen toimenpiteitä. Tämä tulisi yhdistää yleiseen tietojenkalastelutietoisuuden koulutukseen ja simulaatioihin.
- Toteuta todentamismenettelyt: Aseta vankat todentamismenettelyt kaikille tekstiviesteihin liittyvälle viestinnälle. Sisällytä SMS-kompromissit olemassa oleviin tapahtumavasteprotokolliin ja erillään tekstiviestitehtävistä yhden pisteen filmaur-skenaarioiden estämiseksi.
Source: MimeCast tunnistaa kotitoimiston tekstiviestien tietojenkalastelukampanjan
