Microsoft 365- és Outlook-fiókok hitelesítő adataira vadászó csoportra figyelmeztet a Zscaler biztonsági cég szakértői csapata. A ThreatLabz jelentése szerint az elektronikus levelekkel folytatott kampányt májusban észlelték, és jelenleg is tart. Az akció sok tekintetben hasonlít egy 2020-ban észlelt támadási hullámhoz. A csali mindkét esetben egy hamis hangposta-értesítés.

Az idei körben leginkább amerikai szervezetek kerültek az elkövetők célkeresztjébe. Az ágazati lebontás meglehetősen tág: a hadseregtől kezdve, az egészségügy és a gyógyszeripar cégeken át gyártó és logisztikai vállalatokig bezárva szórják a megtévesztő e-maileket.

Külön említést érdemel, hogy a támadók még a témában fekete öves versenyzőnek számító informatikai biztonsággal foglalkozó cégeket sem kímélték. Ebből kifolyólag a Zscaler szakértői első kézből értesülhettek a történésekről, mivel a vállalat dolgozóinak postaládájában is landoltak adathalászatra preparált levelek.

A kutatói összefoglaló alapján a támadás első fázisa egy olyan levélből áll, amely arról értesíti a címzettet, hogy hangposta-üzenete érkezett. A csatolt melléklet megnyitásához azonban több lépésben egy hamis hitelesítő oldalra irányítják az óvatlan célpontot, aki ha ott bedől a Microsoft által használt felülethez hasonló designnak, akkor már landolnak is személyes belépési adatai a támadóknál.

A csalást hihetőbbé teszi, hogy a figyelmeztető levél egy a címzett cégének nevét tartalmazó címről érkezik, ami a felületes felhasználóban alkalmas lehet a gyanú elaltatására. Hasonlóan, a belépési adatok megszerzésére preparált oldal URL-jébe is becsempészik a szervezet nevét. Ez az első lépcsős oldal azonban csak ugródeszkaként üzemel, a tényleges adathalászatra csak egy CAPTCHA-ellenőrző kör után kerül sor. Utóbbi egyrészt tovább növeli a bizalmat a folyamat "komolyságában", másrészt a CAPTCHA használata lehetővé teszi a csalók számára, hogy kikerüljék az automatikus URL-ellenőrző biztonsági eszközöket.

A ThreatLabz szerint a hitelesítő adatokra utazó csalók Japánban található e-mail szervereket használnak a támadások indításához.

Vírusos löket

Az adathalászat, vagy más néven phishing mindig is kedvelt módszere volt az internetes csalóknak, ám a koronavírus megjelenésével a technika még inkább előtérbe került. Ennek oka, hogy a távmunkára kényszerített tömegek között jóval könnyebb volt áldozatokra találni, hiszen a megszokott munkahelyi kommunikációt felváltotta az internetes kapcsolattartás.

A helyzet a pandémia enyhülésével sem lett sokkal jobb. Erre nem csupán a fent leírt kampány utal, de például az MNB idén februárban kiadott jelentése is, mely szerint év elején látványosan megugrott az adathalászati és egyéb, a hazai pénzintézeti ügyfelek megtévesztését célzó kísérletek száma.