Новая фишинговая атака с использованием функции запроса денег в PayPal
Обнаружена новая техника фишинга, эксплуатирующая функцию запроса денег в PayPal. При этом злоумышленники используют легитимный запрос на перевод через PayPal, который может выглядеть правдоподобно для получателей.Согласно новому уведомлению от компании Fortinet, мошенник зарегистрировал бесплатный тестовый домен в Microsoft 365 и создал список рассылки, в который вошли целевые адреса электронной почты. Затем через PayPal был инициализирован запрос на оплату, а в качестве получателя указывался созданный список рассылки.
Как происходит атака
После отправки запроса схема переписывания отправителя (Sender Rewrite Scheme, SRS) от Microsoft изменила адрес отправителя таким образом, чтобы обойти проверки подлинности электронной почты и придать письму видимость легитимного. Кроме того, письмо, URL и адрес отправителя прошли проверки безопасности PayPal, что вводило пользователей в заблуждение относительно подлинности сообщения.Если получатель, испугавшись, переходил по ссылке и входил в свой аккаунт PayPal, злоумышленник получал доступ к его учётной записи.
«Обычно фишинговые атаки требуют от злоумышленников создавать и рассылать электронные письма широкой аудитории, — комментирует Элад Луз, руководитель отдела исследований в компании Oasis Security. — Но в данном случае преступники используют функцию самого сервиса, чтобы доставлять свои сообщения. Письма отправляются с проверенного источника и полностью копируют шаблоны легитимных уведомлений, например стандартный запрос на оплату в PayPal. Из-за этого почтовым сервисам сложно отличить такие письма от реальных, и единственным участником, который потенциально может остановить атаку, остаётся сам PayPal».
Защита от фишинговых угроз
Чтобы защититься от подобных угроз, Fortinet подчёркивает важность «человеческого брандмауэра» — обученных сотрудников, которые внимательно проверяют все неожиданные запросы на оплату, даже если те выглядят достоверно.Дополнительно компания рекомендует использовать правила DLP (Data Loss Prevention) для выявления подобных атак. Правило DLP можно настроить так, чтобы помечать письма, адресованные сразу нескольким получателям из списка рассылки, что помогает распознать и заблокировать фишинговые попытки.
«Использование нейронных сетей для анализа паттернов в социальных графах, а также других передовых методов искусственного интеллекта в современных системах безопасности помогает выявлять такие скрытые взаимодействия, — добавляет Стивен Ковски (Stephen Kowski), полевой директор по технологиям (Field CTO) в SlashNext. — Настолько проактивный механизм обнаружения распознаёт подозрительные групповые рассылки и запросы, которые минуют базовые проверки. Глубокий анализ метаданных пользовательских действий способен выявить даже столь изощрённые схемы».
Источник: https://www.infosecurity-magazine.com/news/scammers-exploit-microsoft365/