Akun Pemasaran Email Chipotle Disusupi untuk Menyebarkan Malware

  • Whatsapp
Akun Pemasaran Email Chipotle Disusupi untuk Menyebarkan Malware

 

Pada pertengahan Juli, serangan phishing baru terdeteksi yang menggunakan akun layanan surat yang disusupi. Dalam empat hari antara 13 Juli 2021 dan 16 Juli 2021, perusahaan anti-phishing menemukan 121 email phishing dalam kampanye ini.
Pada Mei 2021, Nobelium (diduga berada di balik serangan SolarWinds) mencoba metode phishing serupa. Microsoft melaporkan pada bulan Mei tentang kampanye Nobelium di mana email penipuan dikirim ke 3.000 akun di 150 perusahaan di 24 negara. Semua email penipuan dikirim oleh layanan surat Kontak Konstan, menggunakan akun Badan Pembangunan Internasional AS (USAID) yang diretas.
Inky, perusahaan anti-phishing mengidentifikasi kampanye baru, dan jumlahnya kemungkinan kecil dari jumlah keseluruhan email yang dikirim. Inky menyatakan dalam studinya bahwa sedang memeriksa apakah kampanye saat ini diprakarsai oleh aktor ancaman yang sama atau oleh penjahat peniru menggunakan pendekatan yang sama seperti Nobelium.
Metode ini terdiri dari peretasan ke akun pengguna layanan surat yang sah. Akun yang digunakan dalam contoh terbaru adalah milik Chipotle, rantai makanan cepat saji, dan penyedia surat yang digunakan adalah Mailgun. Karena email terlihat asli dari sumber bereputasi tinggi, pendekatan ini memiliki tingkat keberhasilan yang tinggi.
Karena berasal dari alamat IP bereputasi tinggi (Mailgun: 166.78.68.204) dan lulus otentikasi SPF dan DKIM, email tersebut menghapus berbagai sistem deteksi phish otomatis.
Dua adalah serangan vishing (peringatan pesan suara palsu dengan lampiran malware), 14 meniru Bank USAA, dan 105 meniru Microsoft, dari 121 email phishing yang ditemukan. Inky tidak merinci malware apa yang digunakan dalam serangan vishing, juga tidak menyebutkan perusahaan yang terkena phishing.
Sebuah mail.chipotle[.]Tautan com di 14 peniruan bank USAA ditautkan ke situs pengambilan kredensial Bank USAA palsu dan curang. Situs pengambilan kredensial adalah salinan meyakinkan dari situs bank yang sah, bersama dengan logo logo USAA yang sempurna.
Para peneliti berkomentar, “Topi hitam dapat membuat halaman ini hanya dengan mengkloning halaman asli, mengubah hanya satu atau dua detail ke HTML yang mendasarinya, dan voila! Halaman panen kredensial lahir. ”
Mayoritas email phishing menyamar dari Microsoft. Hal ini dapat diprediksi, mengingat hampir setiap orang memiliki akun Microsoft, dan hampir semua menyimpan banyak informasi (seperti login lainnya, rahasia dagang, detail keuangan, dan banyak lagi).
Dalam sampel yang disajikan oleh Inky, email dikirim oleh ‘Pusat Pesan Microsoft 365’. Subjeknya berbunyi, “Anda memiliki (7) email yang dikelompokkan/tidak terkirim 16 Juli 2021,” Ini seharusnya tidak menyesatkan pengguna yang mengetahui mengapa Microsoft mengirim email melalui rantai makanan cepat saji, tetapi mungkin menipu sistem deteksi otomatis yang sangat bergantung pada pada reputasi pengirim.
Tubuh email adalah jebakan penipuan klasik. Tujuh email dari target telah ditahan karena kesulitan penyimpanan, tetapi sekarang siap untuk dikumpulkan (pemicu rasa ingin tahu). Mengabaikan pemberitahuan dapat mengakibatkan akun dinonaktifkan (pemicu rasa takut). Lalu ada tombol yang bertuliskan “Lepaskan pesan ke kotak masuk.” Pengguna dikirim ke halaman login Microsoft palsu yang mengumpulkan kredensial ketika mereka mengklik tombol ini.
Perbedaan antara nama pengirim (dalam hal ini, Microsoft, USAA, dan VM Caller ID) dan pengirim email yang sebenarnya (dalam hal ini, postmaster[@]chipotle[.]com) adalah kunci untuk mengidentifikasi email phishing semacam ini. Yang pertama tidak mungkin mengirim email menggunakan yang terakhir. Namun, di sisi lain, gateway email yang aman sering kali hanya mengandalkan verifikasi apakah domain pengirim asli dan email tersebut berasal dari rentang alamat IP yang disetujui.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *