Mifecast identifiziert Eine Phishing -Kampagne, die auf britische Organisationen abzielt, die Migrantenarbeiter und Studenten sponsern, das Branding des Innenministeriums innerhalb des Sponsoring Management Systems (SMS) ausnutzte, um Anmeldeinformationen für die finanzielle Ausbeutung und den Datendiebstahl zu beeinträchtigen.
Cyber -Kriminelle nutzen das Branding von Home Office in einer neu identifizierten Phishing -Kampagne, die Inhaber von britischen Einwanderer -Sponsor -Lizenzen an der Regierung beteiligen, die der Regierung beteiligt sind Sponsoring -Management -System. Dieses System wurde in erster Linie für Arbeitgeber konzipiert, die Visa in den Kategorien Arbeitnehmer und temporärer Arbeitnehmer sowie Institutionen in den Kategorien Studenten und Kinder sponsern. Zu den Kernfunktionen gehören die Verwaltung der Erstellung und Aufgabe von Sponsoring -Zertifikaten für potenzielle Mitarbeiter oder Studenten sowie die Berichterstattung über Änderungen der Umstände für gesponserte Einwanderer.
Die Kampagne, die von Samantha Clarke, Hiwot Mendahun und Ankit Gupta vom Bedrohungsteam bei MIMEPECAST, einem Spezialisten für E -Mails, in erster Linie die Anmeldeinformationen für die nachfolgende finanzielle Ausbeutung und den Datendiebstahl von Ankit Gupta identifiziert hat. Das Mimecast -Team erklärte, dass diese Kampagne eine erhebliche Bedrohung für das britische Einwanderungssystem darstellt. Angreifer versuchen, den Zugang zum Sponsoring -Management -System für umfangreiche Finanz- und Datennutzung zu gefährden.
Die Bedrohungsakteure setzen betrügerische E -Mails ein, die offizielle Kommunikationen im Innenministerium veranlasst und in der Regel an allgemeine organisatorische E -Mail -Adressen gesendet werden. Diese E -Mails enthalten dringende Warnungen zu Compliance -Problemen oder Kontosuspensionen und enthalten böswillige Links, die die Empfänger zum Überzeugenden gefälschter SMS -Anmeldeseiten zur Ernte von Benutzer -IDs und -kennwörtern umleiten.
Die systematische Natur der Kampagne beginnt mit Phishing -E -Mails, die zunächst eine echte Benachrichtigung über das Home Office nachahmen. Diese Nachrichten werden als dringende Benachrichtigungen oder Systemwarnungen dargestellt, die umgehend Aufmerksamkeit erfordern. Ihr wahrer Zweck ist es jedoch, Benutzer dazu zu bringen, Anmeldeseiten zu fälschen, um die SMS -Anmeldeinformationen der Opfer zu erfassen. Eine tiefere technische Analyse des Mimecast-Teams ergab, dass die Täter CAPTCHA-Gated-URLs als anfängliche Filtermechanismus verwenden.
Darauf folgt die Umleitung zu Angreifer kontrollierten Phishing-Seiten, die direkte Klone des echten Artikels sind. Diese geklonten Seiten umfassen stilferierte HTML, Verbindungen zu offiziellen Vermögenswerten der britischen Regierung und minimale, aber kritische Änderungen am Einreichungsprozess des Formulars. Das MiMemecast -Team stellte fest, dass die Bedrohungsakteure ein fortgeschrittenes Verständnis der Kommunikationsmuster der Regierung und den Benutzererwartungen innerhalb des britischen Einwanderungssystems demonstrieren.
Das Ziel dieses Phishing -Angriffs scheint zweifach zu sein und beide Organisationen zu richten, die Einwanderer in Großbritannien und die Einwanderer selbst zu Recht sponsert. Sobald die SMS -Anmeldeinformationen der primären Opfer beeinträchtigt sind, verfolgen die Angreifer mehrere verschiedene Monetarisierungsziele. Der Hauptbereich dieser Ziele scheint der Verkauf des Zugriffs auf kompromittierte Konten in Dark Web -Foren zu sein, um die Ausgabe gefälschter Sponsoring -Zertifikate (COS) zu erleichtern. Darüber hinaus führen die Angreifer Erpressangriffe direkt auf die Organisationen selbst durch. Eine verdecktere und potenziell profitablere Ausbeutung beinhaltet die Schaffung von gefälschten Stellenangeboten und Visa -Sponsoring -Systemen. Personen, die nach Großbritannien umziehen möchten, wurden Berichten zufolge von diesen Cyber -Kriminellen von bis zu 20.000 GBP für legitime Visa- und Stellenangebote betrogen, die nie zustande kam.
Mimecast hat umfassende Erkennungsfunktionen für seine Kunden implementiert, die möglicherweise durch diese Phishing -Kampagne gefährdet sind. Die E -Mail -Sicherheitsplattform des Unternehmens wurde entwickelt, um eingehende E -Mails zu erkennen und zu blockieren, die dieser Aktivität zugeordnet sind, und die Mimecast überwacht weiterhin weitere Entwicklungen. Organisationen, die den SMS -Dienst nutzen, sollten die Durchführung mehrerer Schutzmaßnahmen in Betracht ziehen. Dazu gehört die Bereitstellung von E -Mail -Sicherheitsfunktionen zur Erkennung von staatlichen Imitationen und verdächtigen URL -Mustern sowie die Implementierung von URL -Umschreiben und Sandboxen zur Analyse von Links vor der Benutzerinteraktion.
Es wird auch empfohlen, die Multifaktorauthentifizierung (MFA) für SMS -Zugriff aufzubauen und durchzusetzen, diese Anmeldeinformationen häufig zu drehen und SMS -Konten für ungewöhnliche Zugriffsmuster oder Anmeldestellungen zu überwachen, die inkonsistent erscheinen. Organisationen sollten Einzelpersonen mit SMS -Zugriff auf echte Kommunikations- und offizielle E -Mail -Domains mit dem Zugriff auf echte Home Office einbeziehen, wodurch die Bedeutung der Überprüfung dringender Benachrichtigungen vor der Einführung von Maßnahmen betont wird. Dies sollte mit allgemeinem Training und Simulationen von Phishing-Awareness verbunden sein. Die Einrichtung von Überprüfungsverfahren für SMS-bezogene Kommunikation, die Einbeziehung von SMS-Kompromisse in Vorfallreaktionsprotokollen und das Trennen von SMS-Aufgaben, sofern dies möglich ist, werden Szenarien mit Einzelpunkten zur Minderung von Szenarien zur Minderung von SMS. Das Home Office wurde für einen Kommentar zu dieser Kampagne kontaktiert.
