ซื้อกลับบ้านที่สำคัญ
- ผู้โจมตีที่อยู่เบื้องหลังมัลแวร์ขโมยรหัสผ่านกำลังใช้วิธีการใหม่ๆ ในการกระตุ้นให้ผู้คนเปิดอีเมลที่เป็นอันตราย
- ผู้โจมตีใช้กล่องจดหมายที่ถูกแฮ็กของผู้ติดต่อเพื่อแทรกไฟล์แนบที่มีมัลแวร์ในการสนทนาทางอีเมลอย่างต่อเนื่อง
-
นักวิจัยด้านความปลอดภัยแนะนำว่าการโจมตีดังกล่าวเน้นย้ำถึงความจริงที่ว่าผู้คนไม่ควรเปิดไฟล์แนบอย่างสุ่มสี่สุ่มห้า แม้แต่ไฟล์ที่มาจากผู้ติดต่อที่รู้จัก
อาจดูแปลกเมื่อเพื่อนของคุณกระโดดเข้าสู่การสนทนาทางอีเมลพร้อมไฟล์แนบที่คุณคาดไม่ถึง แต่การสงสัยในความถูกต้องของข้อความอาจช่วยคุณให้รอดจากมัลแวร์ที่เป็นอันตรายได้
นักสืบด้านความปลอดภัยที่ Zscaler ได้แบ่งปันรายละเอียดเกี่ยวกับผู้คุกคามโดยใช้วิธีการใหม่ในการพยายามหลีกเลี่ยงการตรวจจับ เพื่อเผยแพร่รหัสผ่านที่ขโมยมัลแวร์ที่เรียกว่า Qakbot นักวิจัยด้านความปลอดภัยทางไซเบอร์ตื่นตระหนกกับการโจมตี แต่ไม่แปลกใจที่ผู้โจมตีปรับปรุงเทคนิคของตน
"อาชญากรไซเบอร์อัปเดตการโจมตีอย่างต่อเนื่องเพื่อหลีกเลี่ยงการตรวจจับและในที่สุดก็บรรลุเป้าหมาย" Jack Chapman รองประธานฝ่าย Threat Intelligence ที่ Egress กล่าวกับ Lifewire ทางอีเมล "ดังนั้นแม้ว่าเราจะไม่รู้ว่าพวกเขาจะพยายามทำอะไรต่อไป แต่เรารู้ว่าจะมีครั้งต่อไปเสมอ และการโจมตีนั้นก็พัฒนาอย่างต่อเนื่อง"
แฮ็กเกอร์เพื่อนบ้านที่เป็นมิตร
ในโพสต์ของพวกเขา Zscaler นำเสนอเทคนิคต่างๆ ที่ผู้โจมตีใช้เพื่อให้เหยื่อเปิดอีเมลของพวกเขา
ซึ่งรวมถึงการใช้ชื่อไฟล์ที่ดึงดูดใจด้วยรูปแบบทั่วไป เช่น. ZIP เพื่อหลอกล่อให้เหยื่อดาวน์โหลดไฟล์แนบที่เป็นอันตราย
มัลแวร์ที่สร้างความสับสนเป็นกลยุทธ์ยอดนิยมมาหลายปีแล้ว Chapman เล่าว่าพวกเขาเคยเห็นการโจมตีที่ซ่อนอยู่ในไฟล์ประเภทต่างๆ มากมาย รวมถึง PDF และเอกสาร Microsoft Office ทุกประเภท
"การโจมตีทางไซเบอร์ที่ซับซ้อนได้รับการออกแบบมาเพื่อรองรับโอกาสในการบรรลุเป้าหมายได้ดีที่สุด" แชปแมนกล่าว
น่าสนใจ Zscaler ตั้งข้อสังเกตว่าไฟล์แนบที่เป็นอันตรายจะถูกแทรกเป็นการตอบกลับในชุดข้อความอีเมลที่ใช้งานอยู่ อีกครั้งแชปแมนไม่แปลกใจกับวิศวกรรมสังคมที่ซับซ้อนในการโจมตีเหล่านี้ "เมื่อการโจมตีไปถึงเป้าหมาย อาชญากรไซเบอร์ต้องการให้พวกเขาดำเนินการในกรณีนี้ เพื่อเปิดไฟล์แนบอีเมล" แชปแมนแชร์
Keegan Keplinger หัวหน้าฝ่ายวิจัยและการรายงานที่ eSentire ซึ่งตรวจพบและบล็อกเหตุการณ์แคมเปญ Qakbot โหลในเดือนมิถุนายนเพียงอย่างเดียว ยังชี้ว่าการใช้กล่องจดหมายอีเมลที่ถูกบุกรุกเป็นไฮไลท์ของการโจมตี
"แนวทางของ Qakbot ข้ามการตรวจสอบความน่าเชื่อถือของมนุษย์ และผู้ใช้มีแนวโน้มที่จะดาวน์โหลดและดำเนินการ payload มากขึ้น โดยคิดว่ามันมาจากแหล่งที่เชื่อถือได้" Keplinger บอกกับ Lifewire ทางอีเมล
Adrien Gendre หัวหน้าฝ่ายเทคนิคและเจ้าหน้าที่ฝ่ายผลิตภัณฑ์ของ Vade Secure ชี้ให้เห็นว่าเทคนิคนี้ถูกใช้ในการโจมตี Emotet ในปี 2021 ด้วย
"ผู้ใช้มักได้รับการฝึกฝนให้ค้นหาที่อยู่อีเมลปลอม แต่ในกรณีเช่นนี้ การตรวจสอบที่อยู่ของผู้ส่งจะไม่เป็นประโยชน์เพราะที่อยู่นั้นเป็นที่อยู่ที่ถูกต้องตามกฎหมาย แม้ว่าจะถูกบุกรุกก็ตาม" Gendre กล่าวกับ Lifewire ใน การสนทนาทางอีเมล
ความอยากรู้อยากเห็นฆ่าแมว
Chapman กล่าวว่านอกจากการใช้ประโยชน์จากความสัมพันธ์ที่มีอยู่ก่อนแล้วและความไว้วางใจที่สร้างขึ้นระหว่างบุคคลที่เกี่ยวข้องแล้ว การใช้ประเภทไฟล์และนามสกุลร่วมกันของผู้โจมตีจะทำให้ผู้รับมีความสงสัยน้อยลงและมีแนวโน้มที่จะเปิดไฟล์แนบเหล่านี้มากขึ้น
Paul Baird หัวหน้าเจ้าหน้าที่ความปลอดภัยด้านเทคนิคของสหราชอาณาจักรที่ Qualys ตั้งข้อสังเกตว่าแม้ว่าเทคโนโลยีควรปิดกั้นการโจมตีประเภทนี้ แต่บางกรณีก็มักจะผ่านเข้ามาได้เสมอเขาแนะนำว่าการทำให้ผู้คนรับรู้ถึงภัยคุกคามในปัจจุบันในภาษาที่พวกเขาเข้าใจคือวิธีเดียวที่จะควบคุมการแพร่กระจาย
"ผู้ใช้ควรระวัง และได้รับการฝึกอบรม แม้แต่ที่อยู่อีเมลที่เชื่อถือได้ก็อาจเป็นอันตรายได้หากถูกบุกรุก " เพศตกลง "โดยเฉพาะอย่างยิ่งเมื่ออีเมลมีลิงก์หรือไฟล์แนบ"
Gendre แนะนำให้ผู้คนอ่านอีเมลอย่างระมัดระวังเพื่อให้แน่ใจว่าผู้ส่งคือคนที่พวกเขาอ้างว่าเป็น เขาชี้ให้เห็นว่าอีเมลที่ส่งจากบัญชีที่ถูกบุกรุกมักจะสั้นและตรงประเด็นด้วยคำขอที่ตรงไปตรงมา ซึ่งเป็นเหตุผลที่ดีที่จะตั้งค่าสถานะอีเมลว่าน่าสงสัย
นอกจากนี้ Baird ชี้ให้เห็นว่าอีเมลที่ส่งโดย Qakbot นั้นปกติแล้วจะถูกเขียนแตกต่างไปเมื่อเทียบกับการสนทนาที่คุณมักจะมีกับผู้ติดต่อของคุณ ซึ่งควรเป็นสัญญาณเตือนอีกตัวหนึ่ง ก่อนที่จะโต้ตอบกับไฟล์แนบในอีเมลที่น่าสงสัย Baird แนะนำให้คุณเชื่อมต่อกับผู้ติดต่อโดยใช้ช่องทางแยกต่างหากเพื่อตรวจสอบความถูกต้องของข้อความ
"หากคุณได้รับอีเมล [พร้อม] ไฟล์ [คุณ] ที่ไม่คาดคิด ก็อย่ามองที่มัน " เป็นคำแนะนำง่ายๆ ของ Baird "วลี 'ความอยากรู้อยากเห็นฆ่าแมว' ใช้กับทุกสิ่งที่คุณได้รับทางอีเมล"