Πανεπιστήμια των ΗΠΑ έχουν βρεθεί στο στόχαστρο phishing επιθέσεων, που μιμούνται τα login portals των πανεπιστημίων με σκοπό να κλέψουν credentials.
Για να τραβήξουν την προσοχή των θυμάτων, οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν τις μεταλλάξεις Delta και Omicron του Covid-19 και διάφορα θέματα σχετικά με τον τρόπο με τον οποίο φέρεται να επηρεάζουν τα εκπαιδευτικά προγράμματα.
Δείτε επίσης: Hackers εκμεταλλεύονται τη μετάλλαξη Omicron για phishing επιθέσεις
Αυτές οι phishing εκστρατείες που στοχεύουν τα Πανεπιστήμια των ΗΠΑ, πιστεύεται ότι διεξάγονται από πολλούς παράγοντες απειλών, από τον Οκτώβριο του 2021. Η Proofpoint έχει αναλύσει μερικές από αυτές τις phishing επιθέσεις και μοιράζεται λεπτομέρειες σχετικά με τις τακτικές, τις τεχνικές και τις διαδικασίες (TTP) που χρησιμοποιούνται.
Phishing επιθέσεις στοχεύουν πανεπιστήμια
Στις πρόσφατες phishing εκστρατείες που στόχευσαν Πανεπιστήμια των ΗΠΑ, η επίθεση ξεκινά με ένα email που υποτίθεται περιέχει πληροφορίες σχετικά με τη νέα παραλλαγή Omicron, αποτελέσματα των τεστ COVID-19, αλλαγές μαθημάτων κλπ.
Αυτά τα emails προτρέπουν τον παραλήπτη να κάνει κλικ σε ένα συνημμένο αρχείο HTM, το οποίο τον οδηγεί σε μια ψεύτικη σελίδα σύνδεσης που είναι ίδια με τη σελίδα σύνδεσης του πανεπιστημίου τους.
Τα δείγματα που δημοσίευσε η Proofpoint φαίνονται πολύ πειστικά όσον αφορά την εμφάνισή τους και οι διευθύνσεις URL χρησιμοποιούν ένα παρόμοιο μοτίβο ονομασίας που περιλαμβάνει το .edu top-level domain. Για παράδειγμα, μια επίθεση phishing που στόχευε φοιτητές του Arkansas State University χρησιμοποίησε μια διεύθυνση URL sso2[.]state[.]edu[.]boring[.]cf.
Δείτε επίσης: Twitter: Επαληθευμένοι λογαριασμοί γίνονται στόχοι phishing μετά την αφαίρεση του blue badge
Άλλα παραδείγματα κακόβουλων domains που χρησιμοποιήθηκαν σε αυτές τις phishing επιθέσεις είναι τα:
sso[.]ucmo[.]edu[.]boring[.]cf/Covid19/authenticationedpoint.html
hfbcbiblestudy[.]org/demo1/includes/jah/[university]/auth[.]php*
afr-tours[.]co[.]za/includes/css/js/edu/web/etc/login[.]php*
traveloaid[.]com/css/js/[university]/auth[.]php*
Σε ορισμένες περιπτώσεις (με αστερίσκο), αυτοί οι προορισμοί είναι νόμιμοι ιστότοποι WordPress που παραβιάστηκαν για την κλοπή credentials, επομένως δεν θα υπάρξει ειδοποίηση από τα εργαλεία προστασίας, όταν το θύμα καταλήγει σε αυτούς.
Με βάση τις διευθύνσεις URL που μοιράστηκε η Proofpoint, ορισμένα από τα πανεπιστήμια που στοχοποιούνται σε αυτές τις phishing επιθέσεις είναι τα: University of Central Missouri, Vanderbilt, Arkansas State University, Purdue, Auburn, West Virginia University και το University of Wisconsin-Oshkosh.
Για να παρακάμψουν την προστασία MFA σε στοχευμένες σελίδες σύνδεσης πανεπιστημίων, οι επιτιθέμενοι έχουν δημιουργήσει σελίδες που μιμούνται μια σελίδα DUO MFA, η οποία χρησιμοποιείται για την κλοπή των κωδικών πρόσβασης μίας χρήσης που αποστέλλονται σε φοιτητές και καθηγητές.
Μετά την εισαγωγή των credentials στη πλαστογραφημένη σελίδα σύνδεσης, το θύμα καλείται να εισαγάγει τον κωδικό που έλαβε μέσω SMS στο τηλέφωνό του, ώστε οι επιτιθέμενοι να τον χρησιμοποιήσουν για να πάρουν τον έλεγχο του λογαριασμού.
Αυτό το βήμα απαιτεί άμεση δράση, καθώς τα OTP (κωδικοί μιας χρήσης) έχουν σύντομους χρόνους λήξης.
Επιπτώσεις
Τα credentials μπορούν να χρησιμοποιηθούν από τους εγκληματίες του κυβερνοχώρου για την απόκτηση πρόσβασης στον αντίστοιχο λογαριασμό email, αλλά και για άλλες κακόβουλες δραστηριότητες όπως αποστολή κακόβουλων μηνυμάτων σε άλλους χρήστες και περαιτέρω phishing για την κλοπή πιο πολύτιμων πληροφοριών και λογαριασμών.
Δείτε επίσης: Phishing καμπάνια χρησιμοποιεί ψεύτικες ειδοποιήσεις Office 365 για να κλέψει credentials
Επιπλέον, οι επιτθέμενοι μπορούν να έχουν πρόσβαση σε ευαίσθητες πληροφορίες που είναι αποθηκευμένες στους φακέλους OneDrive και SharePoint του λογαριασμού.
Αυτές οι επιθέσεις phishing θα μπορούσαν ενδεχομένως να οδηγήσουν σε επιθέσεις ransomware, προκαλώντας μεγάλα προβλήματα στα πανεπιστήμια των ΗΠΑ.
Τα αρχεία HTM ανοίγουν σε ένα πρόγραμμα περιήγησης, επομένως από τεχνική άποψη, δεν μπορείτε ποτέ να είστε 100% ασφαλείς. Αν δείτε κάτι τέτοιο, καλύτερα διαγράψτε το email.
Πηγή: Bleeping Computer