Atak phishingowy wykorzystuje adresy URI blobów do wyświetlania fałszywych stron logowania w Twojej przeglądarce

Cofense Intelligence ujawnia nową technikę phishingu, która polega na wykorzystaniu adresów URI blobów do tworzenia lokalnych fałszywych stron logowania, omijania zabezpieczeń poczty e-mail i kradzieży danych uwierzytelniających.

Badacze cyberbezpieczeństwa z Cofense Intelligence poinformowali o nowej i coraz skuteczniejszej metodzie, której cyberprzestępcy używają do dostarczania stron phishingowych bezpośrednio do skrzynek odbiorczych użytkowników. Ta technika, która pojawiła się w połowie 2022 r., wykorzystuje „blob URIs” (binary large objects- Uniform Resource Identifiers).

Dla Twojej informacji, Blob URIs to adresy, które wskazują na tymczasowe dane zapisane przez Twoją przeglądarkę internetową na Twoim komputerze. Mają one uzasadnione zastosowania w Internecie, takie jak sposób, w jaki YouTube tymczasowo przechowuje dane wideo w przeglądarce użytkownika w celu odtwarzania.

Kluczową cechą blob URI jest ich zlokalizowana natura; to znaczy, że blob URI utworzony przez jedną przeglądarkę nie może być dostępny dla żadnej innej, nawet na tym samym urządzeniu. Ta wrodzona cecha prywatności, chociaż korzystna dla legalnych funkcji sieciowych, została wykorzystana przez aktorów zagrożeń do złośliwych celów.

Według analizy Cofense Intelligence, udostępnionej serwisowi Hackread.com, dane Blob URI nie znajdują się w zwykłym internecie, dlatego systemy bezpieczeństwa sprawdzające pocztę elektroniczną nie są w stanie wykryć szkodliwych fałszywych stron logowania.

Dlatego gdy otrzymasz e-mail phishingowy, link nie prowadzi bezpośrednio do fałszywej witryny. Zamiast tego często kieruje Cię do prawdziwej witryny, której ufają programy zabezpieczające, takiej jak OneDrive firmy Microsoft. Stamtąd zostajesz przeniesiony na ukrytą stronę internetową kontrolowaną przez atakującego.

Ta ukryta strona używa następnie blob URI, aby utworzyć fałszywą stronę logowania bezpośrednio w Twojej przeglądarce. Mimo że ta strona jest zapisywana tylko na Twoim komputerze, nadal może ukraść Twoją nazwę użytkownika i hasło i wysłać je hakerom.

Stanowi to wyzwanie dla zautomatyzowanych systemów bezpieczeństwa, w szczególności Secure Email Gateways (SEGs), które analizują zawartość witryny w celu identyfikacji prób phishingu, zauważyli badacze. Nowość ataków phishingowych z wykorzystaniem URI blobów oznacza, że ​​modele bezpieczeństwa oparte na sztucznej inteligencji mogą nie być jeszcze odpowiednio wyszkolone w odróżnianiu legalnych i złośliwych zastosowań.

Brak rozpoznawania wzorców, w połączeniu z powszechną taktyką atakujących polegającą na stosowaniu wielu przekierowań, utrudnia automatyczne wykrywanie i zwiększa prawdopodobieństwo, że wiadomości e-mail typu phishing ominą zabezpieczenia.

Cofense Intelligence zaobserwowało wiele kampanii phishingowych wykorzystujących tę technikę blob URI, z przynętami zaprojektowanymi w celu nakłonienia użytkowników do zalogowania się do fałszywych wersji znanych usług, takich jak OneDrive. Te przynęty obejmują powiadomienia o zaszyfrowanych wiadomościach, monity o dostęp do kont podatkowych Intuit i alerty z instytucji finansowych. Pomimo różnych początkowych pretekstów, ogólny przepływ ataku pozostaje spójny.

Badacze ostrzegają, że ten rodzaj phishingu może stać się bardziej powszechny, ponieważ jest dobry w omijaniu zabezpieczeń. Dlatego ważne jest, aby uważać na linki w wiadomościach e-mail, nawet jeśli wyglądają, jakby prowadziły do ​​prawdziwych stron internetowych, i zawsze sprawdzać je dwukrotnie przed wpisaniem danych logowania. Zobaczenie „ blob:http:// ” lub „ blob:https:// ” w adresie witryny może być oznaką tej nowej sztuczki.