A fost unul dintre cele mai bune e-mailuri de tip phishing pe care le-am văzut … asta nu a fost.

Phishingul rămâne una dintre cele mai populare opțiuni de atac pentru escroci. E-mailurile de tip phishing sunt concepute pentru a înlocui companiile sau directorii pentru a păcăli utilizatorii să transforme informații sensibile, de obicei nume de utilizator și parole, astfel încât escrocii să se poată conecta la servicii online și să fure bani sau date. Dar detectarea și prevenirea phishing-ului nu este doar o problemă a utilizatorului, ci este o problemă corporativă, mai ales atunci când companiile nu iau măsuri de bază în materie de securitate cibernetică și cele mai bune practici pentru a împiedica escrocii să intre vreodată în inboxul utilizatorului.

Intră în TriNet, un gigant al resurselor umane, care în această săptămână a devenit copilul afiș pentru modul în care se poate face un e-mail autentic pentru clienții săi să pară inadvertent la fel de bănuitor pe cât devine.

Angajații de la distanță din cadrul companiilor din SUA care se bazează pe TriNet pentru accesul la resurse umane externalizate, cum ar fi prestațiile lor de asistență medicală și politicile la locul de muncă, au fost trimise un e-mail în această săptămână ca parte a efortului de a menține angajații „informați și la curent cu privire la legile muncii și ocuparea forței de muncă care vă afectează. "

Lucrătorii la un startup de sănătate din Los Angeles, care își administrează beneficiile angajaților prin TriNet, au primit toate e-mailul în același timp. Dar un angajat nu era convins că era un e-mail real și l-a transmis – și codul sursă – către TechCrunch.

TriNet este unul dintre cei mai mari furnizori de resurse umane externalizate din Statele Unite, în principal pentru întreprinderile mici-mijlocii, care poate nu au finanțare pentru a angaja personal dedicat resurselor umane. Și această perioadă a anului este esențială pentru companiile care se bazează pe TriNet, deoarece planurile de asigurări de sănătate intră în înscriere deschisă, iar sezonul fiscal este doar câteva săptămâni. Având în vedere schimbările de beneficii, nu este neobișnuit ca angajații să primească o erupție de e-mailuri legate de TriNet către sfârșitul anului.

Dar acest e-mail nu părea corect. De fapt, când ne-am uitat sub capota e-mailului, totul despre el părea suspect.

Acesta este e-mailul pe care l-au primit lucrătorii la distanță. TriNet a spus că utilizarea unei imagini găzduite de Imgur în e-mail a fost folosită „greșit”. (Imagine: TechCrunch / furnizat)

Am analizat codul sursă al e-mailului, inclusiv anteturile acestuia. Aceste anteturi de e-mail sunt ca un plic – spun de unde a venit un e-mail, cui i s-a adresat, cum a fost dirijat și dacă au existat complicații pe parcurs, precum marcarea ca spam.

Au fost mai multe steaguri roșii decât am putea număra.

Printre problemele principale s-a numărat faptul că logo-ul TriNet din e-mail a fost găzduit pe Imgur, un site gratuit de găzduire de imagini și partajare meme și nu pe site-ul propriu al companiei. Aceasta este o tehnică comună în rândul atacatorilor de phishing – ei folosesc Imgur pentru a găzdui imaginile pe care le folosesc în e-mailurile lor de spam pentru a evita detectarea. De când imaginea a fost încărcată în iulie, acel logo a fost vizualizat de peste 70.000 de ori până când am ajuns la TriNet, care a eliminat imaginea, sugerând că mii de clienți TriNet au primit unul dintre aceste e-mailuri. Și, deși e-mailul conținea un link către un site web TriNet, pagina încărcată avea un domeniu cu totul diferit, fără nimic din acesta, care să sugereze că era un adevărat site autorizat pentru TriNet, pe lângă un logo, care, dacă ar fi un site de phishing, ar fi putut avea. a fost ușor răsfățat.

Temându-ne că unii escroci au trimis un e-mail de phishing către mii de clienți TriNet, am adresat cercetătorului de securitate John Wethington, fondatorul firmei de securitate Condiție: Negru, pentru a examina e-mailul.

Se pare că el a fost la fel de convins ca noi că e-mailul ar fi fost fals.

„În calitate de hackeri și autoinstruiți ingineri sociali, de multe ori credem că depistarea unui e-mail de phishing este„ ușoară ”, a spus Wethington. „Adevărul este greu.”

„Când am examinat prima dată e-mailul, fiecare sonerie de alarmă se stinge. Cu cât am săpat mai mult în ea, cu atât au devenit lucruri mai confuze. Ne-am uitat la înregistrările de nume de domeniu, codul sursă al site-ului și chiar hashurile paginii web ”, a spus el.

Nu a spus nimic, a spus el, care ne-a dat „100% încredere” că site-ul este autentic până când am contactat TriNet.

Purtătorul de cuvânt al TriNet, Renee Brotherton, a confirmat pentru TechCrunch că campania de e-mail a fost legitimă și că utilizează site-ul terț „pentru oferirea serviciului nostru de ePoster conformitate. Ea a adăugat: „Imaginea Imgur la care faceți referire este o imagine a logo-ului TriNet la care a indicat greșit Poster Elite și de atunci a fost eliminată.”

„Adresa de e-mail la care ați făcut referire a fost trimisă tuturor angajaților care nu intră în spațiul de lucru fizic al unui angajator pentru a le asigura accesul la notificările necesare”, a declarat purtătorul de cuvânt al TriNet.

Când a fost atins, Poster Elite a confirmat, de asemenea, că e-mailul era legitim.

Acesta nu este un site de phishing, dar cu siguranță arată ca unul. (Imagine: TechCrunch)

Cum a reușit TriNet să se întâmple atât de greșit? Culmea erorilor a făcut ca unii care au primit e-mailul să fie îngrijorați că informațiile lor ar fi putut fi încălcate.

„Atunci când companiile comunică cu clienții în moduri similare cu modul în care escrocii comunică, acesta poate slăbi capacitatea clientului în timp să localizeze și să oprească amenințările de securitate în comunicările viitoare”, a spus Rachel Tobac, hacker, inginer social și fondator al Securitate socială

Tobac a indicat două exemple despre care TriNet a greșit. În primul rând, hackerilor le este ușor să trimită e-mailuri spoofed lucrătorilor TriNet, deoarece politica DMARC a TriNet cu numele de domeniu nu este aplicată.

În al doilea rând, utilizarea inconsistentă a numelor de domeniu este confuză pentru utilizator. TriNet a confirmat că a indicat linkul din e-mail – posters.trinet.com – la eposterservice.com, care găzduiește afișele de conformitate ale companiei pentru lucrătorii la distanță. TriNet a crezut că redirecționarea domeniului va fi suficientă, dar în schimb ne-am gândit că cineva a deturnat setările numelui de domeniu ale TriNet – un tip de atac care este în creștere, deși în primul rând efectuat de actorii statului. TriNet este o țintă imensă – stochează beneficiile lucrătorilor, plătește detalii, informații fiscale și multe altele. Ne-am asumat cel mai rău.

"Acest lucru este similar cu o problemă pe care o vedem cu comunicările prin telefon prin fraudă bancară", a spus Tobac. „Spammerii sună clienții băncii, strică numărul băncii și pun ca banca să-i determine pe clienți să dea detaliile contului pentru a-și„ verifica contul ”înainte de a auzi despre frauda pe care banca a observat-o în contul lor – ceea ce, desigur, este un atac. ," ea a spus.

"Acest lucru este surprinzător de exact cum sună apelul telefonic legitim atunci când banca apelează cu adevărat pentru a verifica tranzacțiile frauduloase", a spus Tobac.

Wethington a menționat că alți indicatori suspecti au fost toate tehnicile utilizate de escroci în atacurile de phishing. posters.trinet.com subdomeniul folosit în e-mail a fost configurat acum doar câteva săptămâni și eposterservice.com domeniu pe care a indicat că a folosit un certificat HTTPS care nu a fost asociat cu TriNet sau Poster Elite.

Toate acestea indică o singură problemă generală. Este posibil ca TriNet să fi trimis un e-mail legitim, dar totul despre acesta părea problematic.

Pe de o parte, să fii vigilent cu privire la e-mailurile primite este un lucru bun. Și, deși este un joc pentru pisici și mouse-uri pentru a sustrage atacurile de phishing, există lucruri pe care companiile le pot face pentru a se proteja proactiv și pe clienții lor de înșelătorii și atacuri de phishing. Și totuși TriNet a eșuat în aproape toate felurile, deschizându-se la atacuri prin faptul că nu a folosit aceste măsuri de securitate de bază.

„Este greu să distingi binele de rău chiar și cu o pregătire adecvată, iar atunci când îndoieli îți recomand să o arunci”, a spus Wethington.

Sursa articol

LĂSAȚI UN MESAJ

Please enter your comment!
Please enter your name here