A „kép a képben” elhomályosítása meghamisítja a Delta, Kohl's a hitelesítő adatok begyűjtését

A hackerek a Delta Airlines és a Kohl kiskereskedő fényes reklámfotóira támaszkodó elhomályosítási taktikák felé fordulnak, és ráveszik a felhasználókat, hogy felkeressenek hitelesítő adatgyűjtő oldalakat, és adjanak fel személyes adatokat.

A legutóbbi kampány Az Avanan elemzése megmutatta, hogy a fenyegetés szereplői hogyan rejtenek el rosszindulatú linkeket az ilyen megbízható márkáktól származó ajándékkártyákat és hűségprogramokat kínáló meggyőző fotók mögé. Tágabb értelemben a kampány része annak a nagyobb trendnek, hogy a kiberbűnözők a régi taktikákat új eszközökkel frissítik – például az AI-val –, amely meggyőzőbbé teszi az adathalászat.

Az Avanan kutatói, akik az elhomályosítási technikát „kép a képben”-nek nevezték, megjegyezték, hogy a támadások mögött álló kiberbűnözők egyszerűen rosszindulatú URL-ekhez kapcsolják a marketingfotókat. Ez nem tévesztendő össze a szteganográfiával, amely a rosszindulatú terheléseket pixel szinten kódolja a képen belül.

Jeremy Fuchs, az Avanan kiberbiztonsági kutatója és elemzője megjegyzi a szteganográfia gyakran rendkívül összetett, és „ez egy sokkal egyszerűbb módja annak, hogy olyan dolgokat hajtsunk végre, amelyeknek még mindig ugyanaz a hatása, és a hackerek könnyebben reprodukálhatják nagyarányúan.”

Vállalati URL-szűrők a képzavarás miatt

Bár egyszerű, a kép a képben megközelítés megnehezíti az URL-szűrők számára a fenyegetés észlelését – jegyezték meg az Avanan kutatói.

„[Az e-mail] tisztának fog kinézni [a szűrők számára], ha nem szkennelnek a képen belül” – áll az elemzésben. „A hackerek gyakran boldogan linkelnek egy fájlt, képet vagy QR-kódot valami rosszindulatú programhoz. Láthatja a valódi szándékot, ha az OCR segítségével a képeket szöveggé konvertálja, vagy QR-kódokat értelmez és dekódol. De sok biztonsági szolgálat ezt nem teszi vagy nem tudja megtenni.”

Fuchs elmagyarázza, hogy a megközelítés másik kulcsfontosságú előnye, hogy a rosszindulatúság kevésbé látható a célpontok számára.

"Ha a szociális manipulációt az elhomályosításhoz köti, akkor a végfelhasználóknak valami nagyon csábító hatást mutathat be, hogy rákattintsanak és cselekedjenek" - mondja, hozzátéve, hogy ha a felhasználók a kép fölé viszik az egérmutatót, az URL-link nyilvánvalóan nem kapcsolódik a meghamisított márka. "Ez a támadás meglehetősen kifinomult, bár a hacker valószínűleg pontokat veszít, ha nem használ eredetibb URL-t" - mondta.

Míg az adathalász széles fogyasztói hálót vet ki, a vállalkozásoknak tisztában kell lenniük azzal, hogy a légitársaságok hűségprogramjával kapcsolatos kommunikáció gyakran a vállalati postafiókokba kerül; és, be a távmunka kora, sok alkalmazott használ személyes eszközöket üzleti célokra, vagy személyes szolgáltatásokat (például Gmailt) ér el üzleti kibocsátású laptopokon.

„A hatást tekintve [a kampány] nagyszámú ügyfelet céloz meg, több régióban” – teszi hozzá Fuchs. "Bár nehéz megállapítani, hogy ki az elkövető, az ehhez hasonló dolgok gyakran könnyen letölthetők kész készletként."

Gen AI használata a régi taktikák frissítésére

Fuchs szerint a kampány illeszkedik az adathalász-környezet egyik feltörekvő trendjéhez: a hamisításokhoz, amelyek szinte megkülönböztethetetlenek a legitim verzióktól. A jövőben a generatív mesterséges intelligencia (például a ChatGPT) használata a képalapú adathalász támadások elhomályosítási taktikájának elősegítésére csak megnehezíti a felismerést, teszi hozzá.

„A generatív mesterséges intelligencia segítségével ez rendkívül egyszerű” – mondja. „Használhatják arra, hogy gyorsan valósághű képet alakítsanak ki az ismert márkákról vagy szolgáltatásokról, méghozzá nagy léptékben, tervezési vagy kódolási ismeretek nélkül.”

Például csak a ChatGPT promptok használatával, egy Forcepoint-kutató nemrég meggyőződött a mesterséges intelligencia felderíthetetlen szteganográfiai kártevők létrehozására, annak ellenére, hogy a rosszindulatú kéréseket elutasítja.

Phil Neray, a CardinalOps kibervédelmi stratégiáért felelős alelnöke szerint az AI-trend egyre növekvő tendenciát mutat.

„Az újdonság az a kifinomultság, amelyet most már lehet alkalmazni annak érdekében, hogy ezek az e-mailek szinte azonosnak tűnjenek azokkal az e-mailekkel, amelyeket egy legitim márkától kapna” – mondja. „Mint a használata AI által generált mélyhamisítások, a mesterséges intelligencia most sokkal egyszerűbbé teszi az e-mailek létrehozását ugyanolyan szöveges tartalommal, hangszínnel és képekkel, mint egy legitim e-mailben.”

Általában az adathalászok megduplázzák azt, amit Fuchs „a legitimáción belüli elhomályosításnak” nevez.

„Ezen azt értem, hogy a rossz dolgokat jónak látszó dolgokba rejtjük” – magyarázza. "Bár rengeteg példát láttunk a legitim szolgáltatások, például a PayPal meghamisítására, ez a bevált verziót használja, amely hamis, de meggyőző megjelenésű képeket tartalmaz."

Az URL-védelem kihasználása az adatvesztés elleni védelem érdekében

A támadásnak a vállalkozásokat érintő lehetséges következményei lehetnek pénzveszteség és adatvesztés, és védekezésük érdekében a szervezeteknek először meg kell tanítaniuk a felhasználókat az ilyen típusú támadásokról, hangsúlyozva annak fontosságát, hogy az URL-ek fölé mutassák az egérmutatót, és a kattintás előtt meg kell nézni a teljes hivatkozást.

„Ezen túlmenően fontosnak tartjuk az URL-védelmet, amely az ehhez hasonló adathalász technikákat használ a támadások indikátoraként, valamint olyan biztonságot valósítunk meg, amely megvizsgálja az URL összes összetevőjét, és emulálja a mögötte lévő oldalt” – jegyzi meg Fuchs.

Nem mindenki ért egyet azzal, hogy a meglévő e-mail-biztonság nem alkalmas az ilyen adathalászok elkapására. Mike Parkin, a Vulcan Cyber ​​vezető műszaki mérnöke megjegyzi, hogy sok e-mail szűrő megfogja ezeket a kampányokat, és legrosszabb esetben spamként, vagy rosszindulatúként jelöli meg.

Megjegyzi, hogy a spamküldők évek óta képeket használnak szöveg helyett, abban a reményben, hogy megkerülhetik a spamszűrőket, és a levélszemétszűrők is fejlődtek ezek kezelésére.

"Bár az utóbbi időben a támadás meglehetősen gyakori, legalábbis ha a saját levélszemét-mappámban lévő spam utal arra, ez nem egy különösebben kifinomult támadás" - teszi hozzá.

Az AI-kompatibilis támadások azonban más történet lehet. A CardinalOps Neray szerint a fejlettebb képalapú támadások elleni küzdelem legjobb módja az, ha nagy mennyiségű adatot használnak fel mesterséges intelligencia-alapú algoritmusok képzésére a hamis e-mailek felismerésére – maguknak az e-maileknek a tartalmának elemzésével, valamint a hogy az összes többi felhasználó hogyan kommunikált az e-mailekkel.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoAiStream. Web3 adatintelligencia. Felerősített tudás. Hozzáférés itt.
• A jövő pénzverése – Adryenn Ashley. Hozzáférés itt.
• Részvények vásárlása és eladása PRE-IPO társaságokban a PREIPO® segítségével. Hozzáférés itt.
• Forrás: https://www.darkreading.com/endpoint/picture-in-picture-obfuscation-spoofs-delta-kohls-credential-harvesting