Phishing σε επιχειρήσεις: Ψεύτικο login box για εισαγωγή στοιχείων πρόσβασης

Μια καμπάνια phishing που έχει ως στόχο επιχειρήσεις χρησιμοποιεί την επίσημη σελίδα μιας εταιρείας, προσπαθώντας να εξαπατήσει τα πιθανά θύματα να εισάγουν τα credentials τους στο ψεύτικο login box.

Η επίθεση ξεκινά με ένα email που υποτίθεται ότι προέρχεται από την ομάδα τεχνικής υποστήριξης της εταιρείας που ενημερώνει τον χρήστη ότι ορισμένα email αποκλείστηκαν από τα εισερχόμενα.

Για να δημιουργηθεί η αίσθηση ότι είναι κάτι επείγον, το μήνυμα από τον εισβολέα δηλώνει ότι τα email έχουν προγραμματιστεί να διαγραφούν και ότι για να μην συμβεί κάτι τέτοιο ο παραλήπτης πρέπει να τα ανοίξει και να τα ανακτήσει.

Ένα link στο σώμα κειμένου του email μεταφέρει το δυνητικό θύμα στην σελίδα phishing, όπου η αρχική σελίδα της εταιρείας φορτώνεται αυτόματα. Ωστόσο, οι επιτιθέμενοι πρόσθεσαν ένα ψεύτικο login box, ώστε οι χρήστες να τοποθετούν τα στοιχεία πρόσβασης. Επομένως έχουμε μια legit φαινομενικά σελίδα με ένα κακόβουλο login-box. Με αυτόν τον τρόπο ακόμα και οι χρήστες που υποπτεύονται ότι μπορεί να πρόκειται για επίθεση, μπορούν να κάνουν κλικ στα link ή mouse-over, να δουν ότι δεν είναι ψεύτικα και να προχωρήσουν στην εισαγωγή των στοιχείων τους.

Ο Dylan Main της Cofense αναφέρει σε μια ανάρτηση σε ένα blog ότι τα links για αυτήν την καμπάνια phishing προέρχονται από το ίδιο domain («traximgarage [.] Com») αλλά έχουν συγκεκριμένες παραμέτρους για να φορτώσουν την ιστοσελίδα που αντιστοιχεί στην εταιρεία-στόχο.

Στο ψεύτικο login box στο πεδίο που πληκτρολογεί ο χρήστης το “όνομα χρήστη” εμφανίζεται και το email του παραλήπτη. Αυτό μπερδεύει ακόμη περισσότερο τον χρήστη. 

Αν και αυτή η μέθοδος μπορεί να μην είναι ιδιαίτερα επιτυχημένη σε μικρότερες εταιρείες, μπορεί να αποδειχθεί αποτελεσματική σε μεγαλύτερες εταιρείες όπου οι εργαζόμενοι είναι πιθανό να βασίζονται περισσότερο στα εταιρικά συστήματα προστασίας και να είναι λιγότερο προσεκτικοί όταν εισάγουν τα credentials τους.

secnews.gr