För varje dag, månad och år som går är det klart att cyberattacker bara inte försvinner. Varje företag, person eller bransch kan attackeras när som helst. Det senaste är en nätfiskebedrägeri som attackerade större industrier, såsom byggande, och avslöjade inloggningsuppgifter genom Google-sökning.
Nätfiskebedrägeri exponerat via Google
Check Point Research varnade världen genom ett blogginlägg som stulna inloggningsuppgifter från stora industrier släpptes på komprometterade WordPress-domäner. Det upptäcktes sedan i det mest offentliga forumet möjligt: Google-sökning.
Allt började med e-postmeddelanden som inkluderade anställdas namn eller titlar i ämnesraden för bedrägliga e-postmeddelanden. De anställda kom från industrier som inkluderar bygg, IT, hälsovård, fastigheter och tillverkning. Dessa e-postmeddelanden efterliknade Xerox / Xeros-meddelanden som härstammar från en Linux-server och var värd för Microsoft Azure. Spam skickades också via e-postkonton som tidigare hade äventyrats, vilket gav meddelandena legitimitet.
HTML-filer som innehåller inbäddad JavaScript-kod bifogades e-postmeddelandena. Dessa hade bara ett mål: hemliga bakgrundskontroller av lösenord. När inmatningen av inloggningsuppgifterna upptäcktes skördades de, med användarna dirigerade till inloggningssidor.
”Även om denna infektionskedja kanske låter enkelt, kringgick den framgångsrikt filtrering av Microsoft Office 365 Advanced Threat Protection (ATP) och stal över tusen företagsanställdas uppgifter,” enligt Check Point.
De kapade webbplatserna som ingår i denna cyberattack byggdes på WordPress CMS. Check Point förklarade att dessa domäner användes som ”drop-zone servers” för att behandla de stulna inloggningsuppgifterna.
Efter att inloggningsuppgifterna skickades till drop-zone-servrarna sparades de i filer som sedan indexerades av Google och gjorde dem offentliga. De var tillgängliga för alla genom en sökning på Google. Men servrarna användes bara i cirka två månader, länkade till .XYZ-domäner.
”Angripare föredrar vanligtvis att använda komprometterade servrar istället för sin egen infrastruktur på grund av de befintliga webbplatsernas välkända rykte,” förklarade Check Point. ”Ju mer allmänt erkänt ett rykte är, är chansen större att e-postmeddelandet inte kommer att blockeras av säkerhetsleverantörer.”
En varning för framtiden
Bevis som upptäcktes visar att just denna nätfiske kan ha funnits under en tid. Ett e-postmeddelande från förra augusti jämfördes med den nyligen upptäckta bluffen, och de hade samma JavaScript-kodning.
Allt visar bara att vi bara inte kan låta vår vakt gå ner. Stora industrier och alla individer eller företag kan påverkas, och det kan involvera sådana tekniska giganter som Google och WordPress. Ingenting är någonsin säkert när det gäller Internet. Var alltid medveten och ta hand om din information.
Läs vidare för att lära dig hur arbetet hemifrån har lett till en ökning av cyberattacker och falska samarbetsappar.