Novo ataque de phishing exposto a credenciais de login por meio da Pesquisa Google

Noi atacuri de phishing au expus acreditări de conectare prin Căutarea Google

Cu fiecare zi, lună și an care trece, este clar că atacurile cibernetice pur și simplu nu dispar. Orice afacere, persoană sau industrie poate fi atacată în orice moment. Cel mai recent este o înșelătorie de phishing care a atacat mari industrii, cum ar fi construcțiile, și a expus acreditările de conectare prin căutarea Google.

Înșelătorie de phishing expusă prin Google

Check Point Research a alertat lumea printr-o postare pe blog care au fost eliberate acreditările de conectare furate din marile industrii pe domeniile WordPress compromise. A fost apoi descoperit în cel mai public forum posibil: căutarea Google.

Totul a început cu e-mailuri care includeau nume sau titluri ale angajaților în subiectul e-mailurilor frauduloase. Angajații provin din industrii care includ construcții, IT, asistență medicală, imobiliare și producție. Aceste e-mailuri imitau notificările Xerox / Xeros care provin de la un server Linux și au fost găzduite pe Microsoft Azure. Spamul a fost, de asemenea, trimis prin conturi de e-mail care anterior au fost compromise, conferind legitimitatea mesajelor.

Fișierele HTML care conțin cod JavaScript încorporat au fost atașate la e-mailuri. Acestea aveau doar un singur scop: verificarea sub acoperire a parolelor. Când a fost detectată introducerea acreditării de autentificare, acestea au fost recoltate, utilizatorii fiind direcționați către paginile de autentificare.

„În timp ce acest lanț de infecție poate părea simplu, a ocolit cu succes filtrarea Microsoft Office 365 Advanced Threat Protection (ATP) și a furat peste o mie de acreditări ale angajaților corporativi”, potrivit Check Point.

Site-urile web deturnate incluse în acest atac cibernetic au fost construite pe WordPress CMS. Check Point a explicat că aceste domenii au fost utilizate ca „servere drop-zone” pentru a procesa acreditările de conectare furate.

După ce datele de conectare au fost trimise către serverele din zona de acces, acestea au fost salvate în fișiere care au fost apoi indexate de Google, făcându-le publice. Acestea erau disponibile oricui printr-o căutare pe Google. Dar serverele au fost utilizate doar timp de aproximativ două luni, legate de domeniile .XYZ.

Phishing înșelător Conectare Google

„Atacatorii preferă de obicei să utilizeze servere compromise în locul propriei infrastructuri din cauza reputației cunoscute a site-urilor web existente”, a explicat Check Point. „Cu cât o reputație este recunoscută pe scară largă, sunt mai mari șansele ca e-mailul să nu fie blocat de furnizorii de securitate.”

Un avertisment pentru viitor

Dovezile descoperite arată că această înșelătorie specială de phishing ar fi existat de ceva timp. Un e-mail din august trecut a fost comparat cu înșelătoria descoperită recent și aveau aceeași codificare JavaScript.

Totul arată doar că nu ne putem lăsa garda jos. Principalele industrii și orice persoană fizică sau comercială pot fi afectate și pot implica giganți tehnologici precum Google și WordPress. Nimic nu este vreodată sigur când vine vorba de Internet. Fiți întotdeauna conștienți și aveți grijă de informațiile dvs.

Citiți mai departe pentru a afla cum tendința de la locul de muncă a dus la creșterea atacurilor cibernetice și a aplicațiilor de colaborare false.