Злоумышленники атакуют почтовые ящики сотрудников в компаниях, которые все еще используют для связи телефонные системы частного филиала eXchange (PBX), обеспечивая фишинг, обходящий защиту электронной почты. Сообщения претендовали на то, чтобы быть голосовыми уведомлениями от интеграций PBX, и содержали пользовательские строки темы, чтобы пройти поверхностный тест на легитимность.

Пользовательская тема

Компании во всем мире используют системы АТС для внутренней связи. Интеграция с почтовым клиентом компании позволяет сотрудникам получать доступ к голосовым сообщениям из входящих сообщений. Довольно сложная фишинговая кампания в середине мая использовала эту настройку для доставки поддельных почтовых уведомлений для голосовых сообщений в попытке украсть учетные данные для входа.

Компания по безопасности электронной почты IronScales отфильтровала почти 100 000 таких попыток фишинга «Таргетинг сотни предприятий во всех отраслях промышленности, в том числе недвижимости, нефти и газа, машиностроение, IT, здравоохранения, финансовых услуг и многое другое.»

Исполнители адаптировали строки темы для включения имени компании или сотрудника, что только увеличит доверие получателя к уведомлению.

IronScales сообщает, что злоумышленники, вероятно, получали данные для входа в систему, которые обеспечивали бы доступ к различным службам с личной информацией или подробностями бизнеса. Исследователи отмечают, что, хотя тело письма короткое и должно иметь красный флажок, пользовательская строка темы является достаточной приманкой для получателя.

Эта настройка также играет роль в успешном обходе установленных средств защиты, таких как безопасные почтовые шлюзы (SEG) и система проверки подлинности, отчетности и соответствия сообщений на основе доменов (DMARC).

При отсутствии вредоносной полезной нагрузки, которая могла бы определить их вредоносную среду, сообщения пропускаются. Помимо обучения сотрудников правильной идентификации фишинг-сообщений, компании должны полагаться на адекватные средства защиты, которые могут распознавать попытки фишинга. Активность угрозы особенно высока в этот период, поскольку они охотятся на сотрудников, вынужденных работать из дома в связи с COVID 19