O nouă campanie de phishing extrem de avansată a apărut recent, aceasta utilizând Identificatori Unici Universali (UUID) generați aleatoriu pentru a ocoli cu succes filtrele SEG și alte sisteme de securitate. Atacul se bazează pe un script complex încorporat în atașamente HTML sau în platforme de partajare de fișiere falsificate (precum OneDrive sau DocuSign), care combină selecția aleatorie de domenii și înlocuirea dinamică a paginii.
La activare, scriptul malițios alege un domeniu la întâmplare dintr-o listă predefinită de adrese .org, domenii concepute specific pentru a evita listele negre. Acesta generează apoi un UUID dinamic pentru a urmări fiecare victimă individuală. Cel mai ingrijorator aspect este capacitatea de înlocuire dinamică a paginii, prin manipularea DOM (Document Object Model), fără a folosi redirecționări tradiționale. Acest lucru permite scriptului să furnizeze pagini de autentificare personalizate și conținut specific, crescând încrederea victimei și facilitând furtul de credențiale.
Sfaturi de Protectie
1.Ignorați e-mailurile care cer credențiale și conțin atașamente HTML sau ZIP.
Pasul 1: Nu dați click pe fișierele HTML sau ZIP atașate care pretind că sunt notificări de partajare (OneDrive, SharePoint).
Pasul 2: Client E-mail > Click dreapta pe e-mail > Vedeți Sursa/Detalii Mesaj – Verificați câmpul Return-Path/Sender pentru a vă asigura că domeniul de trimitere este cel oficial al companiei.
2.Verificați întotdeauna bara de adrese a browser-ului (URL-ul) înainte de autentificare.
Pasul 1: Înainte de a introduce orice parolă, verificați vizual dacă URL-ul este cel așteptat (microsoft.com, domeniul-companiei.com).
Pasul 2: Asigurați-vă că domeniul principal nu este un domeniu tip typosquatting sau un domeniu .org aleatoriu, chiar dacă pagina arată corect.
3.Activați și forțați utilizarea autentificării multi-factor (MFA/2FA) la nivel de organizație.
Pasul 1: Consolă Admin (Ex: Azure/Google) > Securitate > Acces Condiționat – Configurați o politică care cere MFA pentru toate conturile critice.
Pasul 2: Politici de Securitate > Setări MFA – Solicitați MFA la fiecare logare (sau la fiecare sesiune nouă) pentru a neutraliza furtul de credențiale simple.
4.Configurați GateWay-ul de E-mail (SEG) să blocheze atașamentele periculoase.
Pasul 1: Setări SEG (Ex: Mimecast/Proofpoint) > Reguli de Conținut > Tipuri de Fișiere – Adăugați reguli pentru a bloca atașamentele periculoase: .html, .hta, .js, .zip și .rar care nu vin din surse de încredere..
Pasul 2: Setați o carantină sau o respingere strictă pentru e-mailurile care conțin linkuri către domenii noi, scurte, sau bulk-generate (cum ar fi domenii .org recent înregistrate).
5.Utilizați un manager de parole (Password Manager) care blochează auto-completarea pe site-uri false.
Pasul 1: Instalați o extensie de Password Manager în browser - Browser > Magazin Extensii > Căutare "Password Manager" > Instalare (Ex: 1Password/Bitwarden) – Instalați și activați extensia.
Pasul 2: Pagină Login Necunoscută > Câmp Parolă – Managerul de parole va refuza să completeze automat credențialele, oferind un indiciu vizual că URL-ul nu se potrivește cu domeniul legitim salvat.
6.Educați utilizatorii despre tehnicile de DOM Manipulation.
Pasul 1: Explicați că aspectul vizual al unei pagini poate fi falsificat fără o schimbare de URL.
Pasul 2: Instruiți-i să nu introducă niciodată credențialele după ce au dat click pe un link dintr-un e-mail nesolicitat.
7.Utilizați funcția "Report Phishing" în clientul de email.
Pasul 1: Învățați utilizatorii să folosească butonul de raportare (ex: Google Phishing Button sau Microsoft Report Message) imediat ce primesc un e-mail suspect.
Pasul 2: Aceste rapoarte ajută la antrenarea filtrelor SEG.
8.Instalați un browser cu protecție anti-phishing activată (ex: Google Safe Browsing).
Pasul 1: Browser > Setări (Settings) > Confidențialitate și Securitate – Verificați ca funcția de navigare sigură (ex: Google Safe Browsing) să fie activată.
Pasul 2: Aceasta va avertiza utilizatorul când încearcă să acceseze un site de phishing cunoscut.
9.Implementați DMARC, DKIM și SPF pentru a preveni spoofing-ul domeniului.
Aceste trei sisteme (DMARC, DKIM, SPF) sunt ca niște documente de identitate pentru e-mailurile trimise de compania dumneavoastră. Ele confirmă destinatarului că e-mailul este autentic și nu a fost falsificat (spoofing).
Pasul 1: Consola de Administrare DNS Domeniu > Creare/Modificare Înregistrări TXT – Configurați intrările necesare (DMARC, DKIM, SPF) conform standardelor de autentificare e-mail.
Pasul 2: Acest lucru permite serverelor de primire să respingă e-mailurile care par să vină din domeniul dumneavoastră, dar nu sunt trimise de pe serverele autorizate.
10.Nu dați click pe linkuri scurtate (URL Shorteners) în e-mailuri de la necunoscuți.
Pasul 1: Tratați cu suspiciune orice link care nu arată domeniul complet (ex: bit.ly, t.co).
Pasul 2: Folosiți servicii online de extindere a URL-urilor pentru a verifica destinația reală a linkului înainte de a da click.
Pentru mai multe sfaturi și informații despre securitatea cibernetică, vizitează regulat sigurantapenet.ro