Nagyon megtévesztő trükkel próbálkoznak az adathalászok

​Nagyon megtévesztő adathalász támadásokra figyelmeztettek biztonsági kutatók. Elsősorban az otthonról dolgozó alkalmazottak kerülhetnek kiszolgáltatott helyzetbe.
 

Továbbra sem csillapodnak azok a kibertámadások, amelyek valamilyen módon a világjárvánnyal összefüggő eseményeket igyekeznek kihasználni akár vírusterjesztési, akár adatlopási célokkal. Az Abnormal Security biztonsági kutatói által legutóbb felfedezett alvilági kampánnyal is felhasználói adatokat igyekeznek összegyűjteni a csalók. Elsősorban olyan információkra kíváncsiak, amelyek révén vállalati rendszerekhez, fiókokhoz férhetnek hozzá.  
A szóban forgó adathalász kampányok azért megtévesztőek, mert a kéretlenül küldözgetett levelekben az áll, hogy a felhasználónak új VPN-beállításokat kell alkalmaznia. Ennek érdekében pedig az üzenetben szereplő linkre kell kattintania, ahonnan a konfigurációs paramétereket le tudja tölteni. A valóságban azonban mindebből semmi sem igaz. A hivatkozásra való kattintáskor ugyanis egy olyan weboldal jelenik meg az alapértelmezett webböngészőben, amely megszólalásig hasonlít a Microsoft 365 szolgáltatások bejelentkező weblapjára. Amennyiben itt a felhasználó megadja a felhasználónevét és a jelszavát, akkor azok rögtön a csalók szerverére kerülnek, akik - céges fiókok révén - komolyabb visszaéléseket is elkövethetnek.  
A mostani adathalász támadások egy további, korábban is alkalmazott trükköt is bevetnek annak érdekében, hogy még kisebb valószínűséggel keltsenek gyanút. Jelesül arról van szó, hogy a csalók a hamis weboldalukat a Microsoft Azure (Blob Storage) szolgáltatás révén tették elérhetővé, ami egyben azt is jelenti, hogy a problémás oldalhoz érvényes (Microsoft) tanúsítvány tartozik. Így, ha a felhasználó gyanakodni kezd, és megnézi a böngészőben a tanúsítványt, akkor azt fogja látni, hogy az a Microsofttól származik. Ettől azonban még a weblap kártékony célokat szolgál. További trükk, hogy a csalók a kiküldött elektronikus levelek feladóját olyan módon manipulálják, hogy az e-mail címben szereplő domain név megegyezzen a címzett domain nevével. Ezért sok esetben ezek a küldemények azt a benyomást keltik, hogy vállalaton belülről érkeztek.
 
A biztonsági kutatók a Microsoft Office 365 ATP (Safe Links) szolgáltatás lehetőségek szerinti használatát javasolják, mivel az az ilyen jellegű károkozásokat meglehetősen hatékonyan képes detektálni és blokkolni. Emellett természetesen más tartalomszűrők is bevethetők, de legalább ilyen fontos az alkalmazottak biztonságtudatossági képzése, és annak nyomatékosítása, hogy e-mailben történő kattintással nem célszerű bejelentkező oldalakat felkeresni.