Tim Peneliti Ancaman Keep Award baru -baru ini mengamati insiden phishing yang melibatkan memanfaatkan infrastruktur yang sah, validasi email presisi, dan teknik pengiriman yang mengelak.
Serangan ini menggambarkan penyalahgunaan domain tepercaya, praktik validasi email phishing sisi server, dan kebutuhan kritis untuk perlindungan phishing nol berbasis browser.
Apa yang telah terjadi?
Di lingkungan hidup, Solusi Keamanan Browser Sadar dikonfigurasi dalam mode diam untuk menangkap semua perilaku pengguna dan indikator ancaman tanpa mengganggu sesi.
Ini memberi tim keamanan visibilitas penuh ke dalam setiap tahap upaya phishing saat dibuka, memungkinkan penilaian yang jelas tentang vektor serangan, tindakan pengguna, dan deteksi kesetiaan.
Mengidentifikasi pencurian kredensial
Selama peninjauan deteksi yang dikelola, tim peneliti mengamati sinyal phishing terkait otentikasi yang memicu dalam mode diam. Ini menunjukkan bahwa seorang karyawan telah memasukkan kredensial pada halaman web yang mencurigakan.
Karena browser dikonfigurasi untuk operasi khusus visibilitas, tim keamanan dapat mengamati urutan lengkap dari pencurian kredensial percobaan yang melihat taktik penyerang yang unik ini.
Menggunakan penyelidikan yang dihasilkan oleh Ekstensi Keamanan Browser Keep Award, tim dapat mengevaluasi serangan phishing rantai dengan cepat, mengkonfirmasi input kredensial, dan segera mengikuti langkah -langkah remediasi, termasuk mengatur ulang kata sandi pengguna dan meninjau akun anomali atau aktivitas login.
Dengan mengaktifkan perlindungan default yang sadar, jenis interaksi ini diblokir sepenuhnya. Dan sementara email phishing itu sendiri tidak diamati secara langsung, telemetri mengungkapkan wawasan utama: tidak ada aktivitas browser segera sebelum kunjungan ke halaman phishing.
Ini menunjukkan pengguna mengklik tautan dari luar lingkungan browser, kemungkinan dari aplikasi email, seperti Outlook.
Ini adalah pertemuan yang umum: bahkan ketika phishing dimulai di kotak masuk atau platform pesan, serangan itu sendiri hampir selalu terjadi di browser. Hari ini, browser adalah di mana kepercayaan mudah disalahgunakan, skrip yang mengelak dijalankan dengan mudah, dan kredensial akhirnya dipanen.
Dalam hal ini, karyawan telah mengklik tautan ke situs web yang sah yang menampung halaman jahat.
Perlindungan phishing browser dengan tetap sadar
Tetap sadar berhenti menyerang phishing secara real-time di mana mereka mulai: di dalam browser. Dengan menganalisis perilaku pengguna, pengiriman formulir, dan konteks situs, bukan hanya URL,
Tetap sadar mematikan ancaman sebelum kredensial pernah meninggalkan halaman. Lengkapi tim keamanan Anda dengan visibilitas yang tepat, penegakan kebijakan, dan respons ancaman langsung semua dari dalam browser web yang ada di seluruh organisasi.
Tinjauan Kampanye/Serangan
1) Hosting di domain yang sah
Karyawan yang ditargetkan mengunjungi domain yang sah, berusia 9 tahun dengan reputasi bersih dan kehadiran internet yang kuat untuk menjual tenda. Namun, domain “tepercaya” ini telah dikompromikan untuk meng -host halaman formulir jahat di jalur file /memo/home.html.
Setelah mengunjungi tautan, pengguna disajikan dengan pesan yang mengklaim “dokumen rahasia” telah dibagikan kepada mereka, mendesak mereka untuk memasukkan email mereka untuk mengunduh pembayaran PDF.
Ini adalah petunjuk rekayasa sosial yang sering kita lihat – frase yang dirancang untuk membuat pengguna mengklik tautan dan memberikan kredensial untuk mendapatkan akses ke dokumen bisnis yang seharusnya.
Penghindaran Dasar: Analisis Analisis Javascript
Halaman berbahaya ini termasuk perlindungan anti-analisis dasar. Ini menonaktifkan menu konteks klik kanan dan memblokir pintasan keyboard umum yang mungkin digunakan analis keamanan atau pengguna internet yang penasaran untuk memeriksa atau menyimpan halaman.
Teknik -teknik sederhana ini banyak digunakan untuk menghalangi upaya analisis dari melihat kode halaman atau perilaku latar belakang.
Kode penanganan bentuk
Selain mekanisme anti-analisis, infrastruktur phishing ini mencakup logika untuk secara dinamis menangani input email tergantung pada bagaimana korban tiba di halaman tersebut.
Pra-populasi dengan email korban
Jika tautan phishing berisi alamat email korban di bagian jangkar URL (setelah tanda “#”), maka kode JavaScript akan secara otomatis mengekstrak dan memasukkan email itu ke dalam formulir. Ini mengurangi langkah bagi korban, menghilangkan gesekan dari proses, dan dapat meningkatkan kepercayaan dan tingkat keberhasilan.
Teknik pra-populasi ini menyiratkan email phishing termasuk tautan khusus target, seperti: compromised.domain.com/file/path?#victim_email@example.com
Teknik serupa telah terlihat sebelumnya, seperti di a penulisan terbarudi mana SVG jahat terpasang dalam email phishing menggunakan JavaScript untuk menambahkan email korban ke URL jahat dan mengarahkan kembali browser.
Tautan spesifik target yang pra-populasi formulir login palsu melayani dua tujuan:
- Untuk melacak pengguna mana yang mengklik tautan phishing;
- Untuk merampingkan proses phishing.
Logika pengiriman email
Jika alamat email tidak ada di jangkar URL, maka formulir menunggu korban untuk secara manual memasukkan email mereka dan mengirimkan.
Setelah pengajuan formulir, dua hal terjadi:
- Pengalihan ke situs berbahaya: Halaman mengarahkan kembali tab pengguna ke URL lain, subdomain .Workers.dev berbahaya dengan email di parameter kueri (? Ref =).
Cuplikan JavaScript menunjukkan yang mengirimkan email korban ke subdomain .Workers.dev - Email dikirimkan ke titik akhir API: Secara bersamaan, email dan stempel waktu pengguna dikirim ke titik akhir API.
Cuplikan JavaScript yang mengirimkan permintaan pos dengan informasi korban ke titik akhir API
Mekanisme penyerahan ini menandakan infrastruktur phishing yang lebih maju, yang mampu memvalidasi korban secara real-time dan menyesuaikan apa yang mereka lihat selanjutnya.
2) “Satu langkah lagi sebelum Anda melanjutkan”: Penggunaan Captcha
Setelah mengirimkan email dan sebelum melanjutkan ke halaman phishing akhir, pengguna diarahkan ke situs jahat lainnya dan ditantang dengan cloudflare captcha.
.png)
Taktik ini tidak biasa. Captcha nyata (bukan hanya yang palsu) banyak digunakan oleh aktor phishing untuk:
- Cegah bot dan pemindai otomatis menganalisis halaman phishing akhir
- Hindari deteksi dengan mesin pemindai URL tradisional
- Meminjamkan kredibilitas ke prosesnya
Captchas dapat membantu penyerang menghindari alat dan menjaga penipuan lebih lama.
3) Halaman phishing yang disesuaikan, divalidasi melalui email
Setelah melewati captcha, halaman phishing kadang -kadang beralih ke formulir login Microsoft palsu. Tapi tidak selalu.
Apa yang memicu muatan phishing tergantung pada email apa yang dimasukkan pengguna.
Email Pribadi (misalnya, @gmail.com): Halaman mengembalikan layar kosong.
Email perusahaan (email bisnis yang valid, tetapi kemungkinan tidak ada dalam daftar penyerang): Halaman mengembalikan halaman login Microsoft dasar, tanpa kustomisasi.
Alamat email yang ditargetkan (email bisnis yang valid dan dalam daftar penyerang): Halaman phishing mengungkapkan halaman login Microsoft palsu yang disesuaikan dengan logo perusahaan korban, latar belakang bermerek, dan referensi untuk inisial helpdesk organisasi.
Perilaku ini menunjukkan bahwa backend penyerang melakukan validasi email sisi server. Berdasarkan apakah email tersebut termasuk dalam daftar yang ditargetkan atau dianggap sebagai email pribadi, infrastruktur phishing secara selektif memberikan muatan.
Phishing validasi presisi, sisi server
Teknik ini, di mana penyerang memvalidasi alamat email secara real-time untuk memastikan hanya target yang dimaksud atau target dengan nilai lebih tinggi menerima halaman phishing akhir, disebut sebagai “phishing validasi presisi”.
Teknik validasi email dijalankan melalui kode sisi klien atau panggilan API. Dalam hal ini, validasi email tampaknya terjadi di sisi server, bukan sisi klien melalui JavaScript.
Email yang disediakan dikirim ke API backend, yang menentukan apa yang terjadi selanjutnya, membuat logika phishing lebih sulit untuk dideteksi melalui inspeksi statis atau sisi klien saja.
Mengalahkan phishing presisi dengan deteksi real-time, nol hari
Terlepas dari kecanggihan dan logika sisi server, endgame tetap sederhana: untuk mencuri kredensial. Terlepas dari bagaimana validasi email terjadi, pengguna target akan selalu berakhir pada halaman jahat yang dirancang untuk mencuri kredensial.
Jika tumpukan keamanan Anda dapat memblokir halaman phishing, apakah nol hari atau tidak, presisi divalidasi atau tidak, dan sebelum pengguna memasukkan kata sandi mereka, penyerang berjalan dengan tangan kosong.
Untuk mempertahankan dari jenis phishing yang ditargetkan, bertarget:
- Pastikan tumpukan keamanan Anda dapat mendeteksi dan memblokir halaman phishing bahkan di domain tepercaya
- Investasikan dalam alat yang mengenali peniruan platform bisnis yang sah yang digunakan organisasi Anda (misalnya, Microsoft 365, Okta, Google Workspace)
- Pastikan karyawan Anda memiliki perlindungan waktu nyata, tingkat browser, bukan hanya pemfilteran email
Mengikuti serangan yang terus berkembang
Phishing terus berevolusi – memuaskan infrastruktur yang sah, validasi email presisi, dan teknik pengiriman yang menghindar. Tetapi sementara teknik tampaknya tumbuh lebih canggih, solusinya tetap jelas: perlindungan real-time, dalam browser sangat penting.
Mencegah pengguna yang pernah berinteraksi dengan halaman login menipu adalah cara paling pasti untuk berhenti phishing di jalurnya, terlepas dari logika validasi mewah.
Untuk mempelajari lebih lanjut tentang bagaimana tetap sadar dapat membantu mencegah serangan phishing di browser, meminta demo yang dipersonalisasi dengan anggota tim.
Disponsori dan ditulis oleh Tetap sadar.
