Người dùng Skype đang bị tấn công lừa đảo lấy cắp mật khẩu

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi WhiteHat News #ID:2112, 24/04/20, 01:04 PM.

  1. WhiteHat News #ID:2112

    WhiteHat News #ID:2112 WhiteHat Support

    Tham gia: 16/06/15, 03:06 PM
    Bài viết: 533
    Đã được thích: 75
    Điểm thành tích:
    48
    Nhân viên làm việc từ xa đang trở thành mục tiêu tấn công của một chiến dịch tấn công lừa đảo đánh cắp mật khẩu Skype.

    Theo một báo cáo mới đây của Cofense, email lừa đảo trông “không khác gì” những email thông báo hợp pháp của Skype với nội dung người dùng có 13 thông báo Skype cần được kiểm tra bằng cách click vào nút Xem.

    skype-for-business.jpg

    Các nhà nghiên cứu cho hay: “Việc nhận được những email thông báo dạng này không có gì lạ. Người dùng sẽ không nghi ngờ và bấm xem các thông báo. Chính sự tò mò khiến người dùng ‘Xem’ mà không nghi ngờ gì về việc bị tấn công lừa đảo”.

    Địa chỉ người gửi sử dụng số điện thoại và địa chỉ email Skype hợp pháp, do đó địa chỉ này thoạt nhìn có vẻ hợp pháp. Nhưng địa chỉ email thực có thể được tìm thấy trong đường dẫn trả lại (được hiển thị dưới dạng “Gửi được gửi từ”).

    Khi nhấp vào “Xem”, người dùng được chuyển hướng qua một link ứng dụng (hxxps://jhqvy[.]app[.]link/VAMhgP3Mi5) và cuối cùng là tới (hxxps://skype-online0345[.]web[.]app).

    Tên miền cấp cao nhất .app, trang đích của chiến dịch lừa đảo này, được Google hỗ trợ để giúp các nhà phát triển ứng dụng chia sẻ ứng dụng của họ một cách an toàn. Nó làm cho cuộc tấn công lừa đảo thêm phần hợp pháp.

    Theo các nhà nghiên cứu, lợi ích của tên miền cấp cao này là yêu cầu kết nối HTTPS để bổ sung bảo mật cho cả người dùng và nhà phát triển. Điều này rất tuyệt nhưng không phải trong trường hợp này. HTTPS có nghĩa là thêm khóa vào thanh địa chỉ, điều mà hầu hết người dùng đã được cho biết là có thể tin tưởng. Vì trang web lừa đảo này đang được lưu trữ thông qua .app TLD của Google, nó sẽ có biểu tượng đáng tin cậy này.

    Trang web giả mạo trang đăng nhập hợp pháp của Skype, yêu cầu thông tin xác thực Skype của nạn nhân. Kẻ tấn công đã thêm các biểu tượng của công ty người nhận vào hộp đăng nhập, cũng như dòng thông tin ở phía dưới cảnh báo rằng trang này chỉ dành cho người dùng được ủy quyền.

    Tên người dùng cũng được điền tự động (do URL chứa base64 của địa chỉ email mục tiêu), một thủ thuật khác khiến nạn nhân không thể nghi ngờ.

    Do đó, điều duy nhất để người dùng làm là nhập mật khẩu của mình, sau đó mật khẩu sẽ rơi vào tay của kẻ tấn công.

    Chiến dịch này là một trong nhiều cách để lợi dụng làn sóng làm việc từ xa giữa đại dịch coronavirus. Với sự tăng đột biến của các cuộc họp trực tuyến, thông tin đăng nhập Skype bị xâm phạm có thể được bán trên các diễn đàn ngầm hoặc được sử dụng để đăng nhập vào tài khoản nơi chia sẻ các tệp và dữ liệu nhạy cảm (cùng với các hoạt động độc hại khác).

    Nguồn: Threatpost
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    Thriuenug thích bài này.