Phishingaanval gebruikt blob-URI's om nep-inlogpagina's in uw browser weer te geven

Cofense Intelligence onthult een nieuwe phishingtechniek waarbij blob-URI's worden gebruikt om lokale, nep-inlogpagina's te maken. Zo wordt de e-mailbeveiliging omzeild en worden inloggegevens gestolen.

Cybersecurityonderzoekers van Cofense Intelligence hebben een nieuwe en steeds effectievere methode gemeld die cybercriminelen gebruiken om phishingpagina's met inloggegevens rechtstreeks in de e-mailbox van gebruikers te plaatsen. Deze techniek, die medio 2022 op de markt kwam, maakt gebruik van 'blob-URI's' (binaire grote objecten - Uniform Resource Identifiers).

Ter informatie: Blob-URI's zijn adressen die verwijzen naar tijdelijke gegevens die door uw internetbrowser op uw eigen computer zijn opgeslagen. Deze hebben legitieme toepassingen op internet, zoals de manier waarop YouTube tijdelijk videogegevens opslaat in de browser van een gebruiker om af te spelen.

Een belangrijk kenmerk van blob -URI's is hun gelokaliseerde aard; dat wil zeggen dat een blob-URI die door de ene browser is aangemaakt, niet toegankelijk is voor een andere, zelfs niet op hetzelfde apparaat. Deze inherente privacyfunctie is weliswaar nuttig voor legitieme webfuncties, maar wordt door kwaadwillenden misbruikt voor kwaadaardige doeleinden.

Volgens de analyse van Cofense Intelligence, die gedeeld is met Hackread.com, kunnen beveiligingssystemen die e-mails controleren de schadelijke nep-inlogpagina's niet eenvoudig herkennen, omdat Blob URI-gegevens zich niet op het normale internet bevinden.

Wanneer u een phishingmail ontvangt, leidt de link u dus niet rechtstreeks naar een nepwebsite. In plaats daarvan wordt u vaak doorgestuurd naar een echte website die door beveiligingsprogramma's wordt vertrouwd, zoals Microsoft OneDrive . Van daaruit wordt u doorgestuurd naar een verborgen webpagina die door de aanvaller wordt beheerd.

Deze verborgen pagina gebruikt vervolgens een blob-URI om de nep-inlogpagina rechtstreeks in je browser aan te maken. Hoewel deze pagina alleen op je computer is opgeslagen, kan deze nog steeds je gebruikersnaam en wachtwoord stelen en naar de hackers sturen.

Dit vormt een uitdaging voor geautomatiseerde beveiligingssystemen, met name Secure Email Gateways (SEG's), die websitecontent analyseren om phishingpogingen te identificeren, merkten onderzoekers op. De nieuwigheid van phishingaanvallen met blob-URI's betekent dat AI-gestuurde beveiligingsmodellen mogelijk nog niet adequaat getraind zijn om onderscheid te maken tussen legitiem en kwaadaardig gebruik.

Dit gebrek aan patroonherkenning, gecombineerd met de veelgebruikte tactiek van aanvallers om meerdere omleidingen te gebruiken, bemoeilijkt automatische detectie en vergroot de kans dat phishing-e-mails de beveiliging omzeilen.

Cofense Intelligence heeft meerdere phishingcampagnes waargenomen die gebruikmaken van deze blob-URI-techniek, met lokkertjes die bedoeld zijn om gebruikers te verleiden in te loggen op nepversies van bekende diensten zoals OneDrive. Deze lokkertjes bestaan ​​onder andere uit meldingen van versleutelde berichten, prompts om toegang te krijgen tot Intuit-belastingrekeningen en waarschuwingen van financiële instellingen. Ondanks de uiteenlopende initiële voorwendsels blijft de algemene aanvalsstroom consistent.

Onderzoekers waarschuwen dat dit type phishing steeds vaker voorkomt, omdat het goed is in het omzeilen van beveiligingslekken. Het is daarom belangrijk om voorzichtig te zijn met links in e-mails, zelfs als ze eruitzien alsof ze naar echte websites verwijzen, en om altijd dubbel te controleren voordat u uw inloggegevens invoert. " blob:http:// " of " blob:https:// " in het websiteadres kan een teken zijn van deze nieuwe truc.