Новая фишинговая атака раскрыла учетные данные для входа через поиск Google
С каждым днем, месяцем и годом становится ясно, что кибератаки никуда не делись. Любой бизнес, человек или отрасль могут быть атакованы в любой момент. Последняя из них — это фишинговая афера, которая атаковала основные отрасли, такие как строительство, и раскрыла учетные данные для входа через поиск Google.
Разоблачение фишингового мошенничества через Google
Check Point Research предупредила мир через сообщение в блоге, украденные учетные данные из основных отраслей были раскрыты на взломанных доменах WordPress. Затем это было обнаружено на самом открытом форуме: поиске Google.
Все началось с электронных писем, в теме которых были указаны имена или должности сотрудников. Сотрудники были из таких отраслей, как строительство, ИТ, здравоохранение, недвижимость и производство. Эти электронные письма имитировали уведомления Xerox / Xeros, которые исходили с сервера Linux и размещались в Microsoft Azure. Спам также рассылался через учетные записи электронной почты, которые ранее были взломаны, что придавало сообщениям легитимность.
К электронным письмам были прикреплены файлы HTML, содержащие встроенный код JavaScript. У них была только одна цель: тайная проверка паролей. Когда был обнаружен ввод учетных данных для входа, они были собраны, и пользователи перенаправлялись на страницы входа.
«Хотя эта цепочка заражения может показаться простой, она успешно обошла фильтрацию Microsoft Office 365 Advanced Threat Protection (ATP) и похитила более тысячи учетных данных корпоративных сотрудников», — сообщает Check Point.
Захваченные веб-сайты, включенные в эту кибератаку, были созданы на WordPress CMS. Check Point объяснила, что эти домены использовались как «серверы промежуточной зоны» для обработки украденных учетных данных.
После того, как учетные данные были отправлены на серверы drop-zone, они были сохранены в файлах, которые затем были проиндексированы Google, что сделало их общедоступными. Они были доступны любому желающему через поиск в Google. Но серверы использовались только около двух месяцев, привязанные к доменам .XYZ.
«Злоумышленники обычно предпочитают использовать скомпрометированные серверы вместо собственной инфраструктуры из-за хорошо известной репутации существующих веб-сайтов», — пояснил Check Point. «Чем шире известна репутация, тем выше шансы, что электронная почта не будет заблокирована поставщиками средств безопасности».
Предупреждение на будущее
Обнаруженные доказательства показывают, что это конкретное мошенничество с фишингом могло существовать уже некоторое время. Электронное письмо от августа прошлого года сравнивали с недавно обнаруженным мошенничеством, и у них была такая же кодировка JavaScript.
Все это просто показывает, что мы просто не можем терять бдительность. Это может затронуть основные отрасли и любого человека или бизнес, и это может затронуть такие технологические гиганты, как Google и WordPress. Когда дело касается Интернета, нет ничего безопасного. Всегда будьте в курсе и берегите свою информацию.
Читайте дальше, чтобы узнать, как тенденция работы на дому привела к увеличению числа кибератак и поддельных приложений для совместной работы.
Эта статья полезна? да нет
