Ny analyse: “Jeg er ikke en robot”-formularer bruges til at stjæle Microsoft-loginoplysninger
Hackere står i øjeblikket bag phishing-kampagner, hvor sikkerhedsfunktionen reCaptcha, der skal sikre, at webbesøgende rent faktisk er mennesker – ikke bots – bruges til at snyde virksomheder ved at omdirigere medarbejdere til falske Microsoft-loginsider. Det viser en ny analyse fra it-sikkerhedsvirksomheden Barracuda, der beretter om nye angreb samt et angreb med flere end 128.000 fup-mails.
De fleste kender reCaptcha som værktøjet, der sikrer hjemmesider mod bot-angreb. Ved hjælp af utydelige tal og bogstaver eller billeder af trafiklys kan brugeren bekræfte, at vedkommende er et menneske.
En ny analyse fra it-sikkerhedsvirksomheden Barracuda viser nu, at anti-bot-funktionen er blevet et særdeles effektivt våben for cyberkriminelle. reCaptcha fungerer traditionelt som en bro mellem et link og en legitim onlinedestination, men hackerne kan bruge funktionen til at skjule svindelsider for virksomhedens beskyttelsesprogram, fordi modtageren først omdirigeres til fupsiden, efter den harmløse reCaptcha er løst.
“De seneste uger har vi observeret adskillige phishing-kampagner med flere hundrede tusinder mails, hvor reCaptcha bruges til at snyde både beskyttelsesprogrammer og Microsoft-brugere. Metoden viser sig at være særdeles effektiv, fordi hackerne kan skjule deres svindelsider bag en uskyldig reCaptcha, og derved er de sværere at opdage i tide,” forklarer Peter Gustafsson, der er chef for Barracuda Networks i Norden.
“Du har modtaget en talebesked”
En af disse phishing-kampagner havde flere end 128.000 afsendte phishing-mails, der anvendte reCaptcha til at omdirigere medarbejdere til en falsk Microsoft-loginside. Her modtog brugerne en mail med en talebesked, som kunne aflyttes ved at åbne en vedhæftet HTML-fil, der sendte dem videre til reCaptcha-siden og derfra videre til en falsk Microsoft-side.
“Disse mails ser legitime ud og indeholder en vedhæftet HTML-fil, der omdirigerer til en side, der ligner en legitim reCatpcha-side, og hvis fupsiden også ser legitim ud, er det svært for brugeren at gennemskue svindelnummeret,” siger Peter Gustafsson.
Opmærksomhed er det bedste våben mod mail-svindel
reCaptcha-tricket gør det sværere for traditionelle beskyttelsesprogrammer at opfange truslen, men ifølge Peter Gustafsson kan virksomheder skabe et solidt sikkerhedsfundament ved at træne medarbejderne:
“Et godt råd til virksomhederne må være, at de løbende bør uddanne medarbejderne, så de er opmærksomme på de nyeste trusler som fx fra reCaptcha. Som med alle former for mail-phishing er det vigtigt altid at kigge efter afsendernavnet, mystiske URLs og vedhæftede filer, som alle kan give hints om, at mailen er ondsindet. Samtidig skal medarbejderne lære, hvordan de rapporterer forskellige phishing- og hackerangreb, så systemerne bliver endnu bedre til at frasortere dem automatisk,” siger Peter Gustafsson.
