De stille ontwikkeling van phishing technieken in 2019 door Microsoft

De slimste phishing trucs van dit jaar zijn het kapen van zoekresultaten van Google en misbruik maken van 404-foutpagina’s.

Eerder deze maand bracht Microsoft een rapport uit over de malware- en cyberbeveiligings trends van dit jaar. Een van de weinige trends die in het rapport werden benadrukt, was dat phishing een van de weinige aanvalsvectoren was die de afgelopen twee jaar een toename van activiteit zag.

Microsoft zei dat phishing-pogingen groeiden van minder dan 0,2% in januari 2018 tot ongeveer 0,6% in oktober 2019, waarbij 0,6% het percentage phishing-e-mails vertegenwoordigde dat werd gedetecteerd in het totale aantal e-mails dat Microsoft analyseerde.

Bron: Microsoft

Terwijl phishing aanvallen toe namen, daalde het aantal ransomware, cryptomining en andere malware infecties, zei het bedrijf destijds .

In een blogpost die woensdag 11 december is gepubliceerd, heeft de technologiegigant uit Redmond drie van de slimmere phishing-aanvallen besproken die het dit jaar heeft gezien.

Zoekresultaten Kapen

De eerste is een gelaagde malware-operatie waardoor een criminele bende de zoekresultaten van Google heeft vergiftigd. De regeling ging als volgt:

  • Oplichters hebben webverkeer gekaapt van legitieme sites naar websites die zij beheerden;
  • De domeinen werden het beste Google zoekresultaat voor zeer specifieke voorwaarden;
  • Phishers stuurden e-mails naar slachtoffers die het Google-zoekresultaat voor die specifieke term koppelden;
  • Als het slachtoffer op de Google link klikte met het beste resultaat, zouden ze op een door een aanvaller gecontroleerde website terechtkomen;
  • Deze website zou de gebruiker vervolgens omleiden naar een phishing pagina;
fig1-phishing-vergiftigd-search-results.png
Afbeelding: Microsoft

Met behulp van deze techniek konden phishers phishing-e-mails verzenden die alleen legitieme URL’s bevatten (bijvoorbeeld een link naar zoekresultaten) en een vertrouwd domein, bijvoorbeeld:

hxxps: // www [.] google [.] ru / # btnI & q =% 3Ca% 3EhOJoXatrCPy% 3C / a% 3E

hxxps: // www [.] google [.] ru / # btnI & q =% 3Ca% 3EyEg5xg1736iIgQVF% 3C / a% 3E

De campagne werd nog geheimzinniger gemaakt door het gebruik van locatiespecifieke zoekresultaten. Bij toegang door gebruikers in Europa leidde de phishing URL naar de redirector-website c77684gq [.] Beget [.] Tech , en uiteindelijk naar de phishing-pagina. Buiten Europa leverde dezelfde URL geen zoekresultaten op.

U zou denken dat het wijzigen van de zoekresultaten van Google gigantisch veel moeite kost, maar dit was eigenlijk vrij eenvoudig, omdat aanvallers zich niet op trefwoorden met veel verkeer richtten, maar zich in plaats daarvan concentreerden op wartaal zoals ‘hOJoXatrCPy’.

Bovendien zei Microsoft:

“de campagne werd nog geheimzinniger gemaakt door het gebruik van locatiespecifieke zoekresultaten.”

“Bij toegang door gebruikers in Europa leidde de phishing-URL naar de redirector-website c77684gq [.] Beget [.] Tech, en uiteindelijk naar de phishing-pagina. Buiten Europa leverde dezelfde URL geen zoekresultaten op,”

aldus Microsoft.

Misbruik Van 404-Foutpagina’s

Een andere slimme truc die dit jaar door phishers werd gebruikt, werd voor het eerst opgemerkt in een phishing campagne die Microsoft in augustus ontdekte en die in deze Twitter-thread vastlegde .

Bron: Microsoft

Deze campagne is sluw van slimheid.

Hoewel de meeste phishing-e-mails een link bevatten naar de phishing URL waarnaar ze gebruikers willen lokken, bevatten aanvallers voor deze campagne ook links die naar niet-bestaande pagina’s wezen.

Wanneer de beveiligingssystemen van Microsoft de link scannen, kregen ze een 404 foutmelding terug omdat de link niet bestaat en zou Microsoft de link als veilig beschouwen.

Als een echte gebruiker de URL echter zou openen, zou de phishing site de gebruiker detecteren en deze omleiden naar een werkelijke phishing pagina in plaats van de standaard 404 foutpagina van de server.

fig7-phishing-microsoft-rendering-site.png
Bron: Microsoft

Microsoft zei dat wanneer deze truc werd gekoppeld aan technieken zoals algoritmen voor het genereren van subdomeinen en het regelmatig wijzigen van het hoofddomein, aanvallers ‘vrijwel onbeperkte phishing-URL’s‘ konden genereren.

Redirector code
Bron: Microsoft

Omdat de verkeerd ingedeelde 404-pagina wordt weergegeven op een niet-bestaande URL in een door een aanvaller beheerd domein, kunnen de phishers willekeurige URL’s gebruiken voor hun campagnes. We zagen bijvoorbeeld dat deze twee URL’s werden gebruikt in phishing campagnes; de aanvallers voegden een enkel karakter toe aan het tweede om een ​​nieuwe URL te genereren maar dezelfde phishing-pagina te tonen:

  • hxxps: [.] [.] // skype-online8024 web app / 8cc1083b0ffdf1e5b9594c045c825b02d41d8cd98f00b204e9800998ecf8427e # ZG1jY2FubkBtb3Jicm9zLmNvbQ
  • hxxps: [.] [.] // skype-online8024 web app / 8cc1083b0ffdf1e5b9594c045c825b02d41d8cd98f00b204e9800998ecf8427e # ZG1jY2FubkBtb3Jicm9zLmNvbQs

We hebben ook vastgesteld dat de aanvallers gerandomiseerde domeinen hebben, waardoor het aantal phishing-URL’s exponentieel is toegenomen:

  • outlookloffice365usertcph4l3q [.] web [.] app
  • outlookloffice365userdqz75j6h [.] web [.] app
  • outlookloffice365usery6ykxo07 [.] web [.] app

Al deze niet-bestaande URL’s retourneerden de 404-foutpagina, dat wil zeggen de phishing-pagina:

 Wanneer toegang tot phishing-URL wordt verkregen, reageert de server met het HTTP 404-foutbericht, een phishing-pagina
Bron: Microsoft

Man in the Middle (MitM) Gebaseerde Phishing

Een derde phishing-truc die Microsoft dit jaar als een slimme phishing aanval wilde benadrukken, was een die gebruik maakte van een man-in-the-middle-server (MitM). Microsoft legt uit:

“Eén specifieke phishing-campagne in 2019 bracht imitatie naar een hoger niveau. In plaats van dat aanvallers elementen van de vervalste legitieme website kopieerden, legde een man-in-the-middle-component bedrijfsspecifieke informatie zoals logo’s, banners, tekst en achtergrondafbeeldingen vast De rendering-site van Microsoft. […] Het resultaat was exact dezelfde ervaring als de legitieme aanmeldingspagina, wat het vermoeden aanzienlijk kon verminderen. “

Deze op MitM gebaseerde techniek is echter niet perfect, omdat de URL van de phishing-site nog steeds zichtbaar is in de adresbalk, net als op elke andere phishing-site.

Dit betekent dat zelfs als gebruikers kunnen worden misleid door de perfect ogende inlogpagina, ze rampen kunnen voorkomen door de URL van de pagina nauwkeurig te inspecteren.

Bron: Microsoft

Pin It on Pinterest