Ερευνητές ανακάλυψαν μια νέα phishing marketing εκστρατεία, η οποία χρησιμοποιεί captcha bins για να παρακάμψει τα «safe electronic mail gateways» (SEGs) και να τρέξει μια ψεύτικη σελίδα Microsoft.
Οι εταιρείες χρησιμοποιούν τα SEGs προκειμένου να διασφαλίσουν ότι τα email που λαμβάνουν είναι «καθαρά», ότι δεν περιέχουν δηλαδή κάποιον ιό. Τα SEGs είναι υπεύθυνα για τη σάρωση όλων των μηνυμάτων, εσωτερικά και εξωτερικά, για να διασφαλίσουν ότι δεν εμπεριέχεται κακόβουλο περιεχόμενο. Λειτουργεί σαν ασπίδα ενάντια σε phishing και άλλες επιθέσεις.
Το Captcha εμποδίζει την αυτόματη σάρωση
Το Captcha είναι ένα είδος test που χρησιμοποιείται για να διαπιστωθεί αν ο χρήστης είναι άνθρωπος ή bot. Έχει σχεδιαστεί για να ανιχνεύει και να εμποδίζει ύποπτες δραστηριότητες.
Ωστόσο, οι hackers κατάφεραν να χρησιμοποιήσουν το Captcha για να συγκαλύψουν τη ψεύτικη σελίδα που έφτιαξαν, αφού μπλόκαραν την ανάλυση του URL.
“Το SEG δεν μπορεί να προχωρήσει και να σαρώσει την κακόβουλη σελίδα, αλλά μόνο το Captcha code site. Αυτό το site δεν περιλαμβάνει κακόβουλο περιεχόμενο, επομένως το SEG το θεωρεί ασφαλές», δήλωσαν οι ερευνητές.
Οι επιτιθέμενοι στόχευαν στην απόκτηση των credentials λογαριασμών της Microsoft γι’ αυτό δημιούργησαν μια ψεύτικη σελίδα σύνδεσης, που μοιάζει πολύ με την πρωτότυπη σελίδα της εταιρείας.
Αν ένας χρήστης μπει στην ψεύτικη σελίδα και πληκτρολογήσει τα credentials του ή οποιοδήποτε άλλο στοιχείο, οι hackers θα έχουν πρόσβαση σε αυτά.
Σύμφωνα με τους ερευνητές, το email με το phishing link προέρχεται από έναν παραβιασμένο λογαριασμό από το “avis.ne.jp”.
Το email διαθέτει μια επιλογή, η οποία προσφέρει τη δυνατότητα προεπισκόπησης της υποτιθέμενης επικοινωνίας. Αν κάποιος πατήσει αυτή την επιλογή θα μεταφερθεί στη σελίδα με τον κώδικα captcha.
Τόσο οι phishing σελίδες όσο και το captcha φιλοξενούνται στην υποδομή της Microsoft. Γι’ αυτό το λόγο, τα SEGs δεν μπορούν να εντοπίσουν τίποτα περίεργο κατά την ανάλυση του URL. Τα domains φαίνονται νόμιμα.
Οι εγκληματίες του κυβερνοχώρου ανακαλύπτουν συνεχώς νέους τρόπους για να εξαπατούν τα θύματά τους αλλά και τα προγράμματα προστασίας που χρησιμοποιούν. Όπως φάνηκε στη συγκεκριμένη περίπτωση (αλλά και σε άλλες επιθέσεις) έχουν αρχίσει να χρησιμοποιούν εργαλεία που κανονικά είναι σχεδιασμένα για να προσφέρουν ασφάλεια, αλλά τα εκμεταλλεύονται με τέτοιο τρόπο, ώστε να βοηθούν στις απάτες τους.
Στο παρελθόν κάποιοι hackers είχαν χρησιμοποιήσει QR codes για την ανακατεύθυνση των θυμάτων σε phishing σελίδες. Τα QR codes χρησιμοποιούνται πολλές φορές και για τη δημιουργία προγραμμάτων ασφαλείας.
