Uma campanha sofisticada de phishing está visando organizações do Reino Unido que patrocinam trabalhadores e estudantes migrantes, alavancando a autêntica marca do escritório em casa para comprometer credenciais no sistema de gerenciamento de patrocínio do governo (SMS). Esta campanha, identificada pela equipe de pesquisa de ameaças de Mimecast, representa uma ameaça significativa ao sistema de imigração do Reino Unido, levando potencialmente a uma extensa exploração financeira e roubo de dados.

O SMS é uma plataforma crítica para os empregadores que patrocinam vistos nas categorias de trabalhadores e trabalhadores temporários, bem como para instituições que patrocinam vistos nas categorias de estudantes e filhos. Suas funções principais incluem o gerenciamento da criação e atribuição de certificados de patrocínio para futuros funcionários ou estudantes e relatar mudanças nas circunstâncias para imigrantes patrocinados. O objetivo dos atacantes é obter acesso não autorizado a este sistema para vários ganhos financeiros ilícitos.

De acordo com Samantha Clarke, Hiwot Mendahun e Ankit Gupta, de Mimecast, a campanha emprega e -mails fraudulentos que meticulosamente representam comunicações oficiais do Home Office. Esses e -mails são normalmente enviados para endereços de email organizacional geral, transmitindo avisos urgentes sobre questões de conformidade ou suspensão da conta. As mensagens contêm links maliciosos que redirecionam os destinatários para convencer as páginas de login SMS altamente convincentes projetadas para coletar IDs e senhas de usuário.

You Might Also Like
O que é o Apple Pencil hover: como funciona o novo recurso?
O que é o Apple Pencil hover: como funciona o novo recurso?
O Spotfindr mostra os melhores lugares para gravar vídeos com drones
O Spotfindr mostra os melhores lugares para gravar vídeos com drones
Resumo de A Plague Tale Innocence: Playtime e dubladores
Resumo de A Plague Tale Innocence: Playtime e dubladores

A análise técnica de Mimecast revela os métodos avançados dos atacantes, incluindo o uso de URLs dependentes de CAPTCHA como um mecanismo de filtragem inicial. Isto é seguido de redirecionamento para páginas de phishing controladas por atacantes que são clones diretos do portal de login de SMS genuíno. Essas páginas clonadas incorporam HTML furtivo, links para ativos oficiais do governo do Reino Unido e alterações mínimas, mas críticas, no processo de envio de formulários. A equipe Mimecast observou: “Os atores de ameaças demonstram entendimento avançado dos padrões de comunicação do governo e expectativas do usuário no sistema de imigração do Reino Unido”.

Os objetivos desse ataque de phishing parecem ser duplos, visando as duas organizações que legitimamente patrocinam imigrantes para o Reino Unido e os próprios imigrantes. Depois que os atacantes comprometem as credenciais do SMS, eles buscam vários objetivos de monetização. Um objetivo principal é a venda de acesso a contas comprometidas nos fóruns da Web Dark para facilitar a emissão de certificados falsos de patrocínio (COS). Eles também pretendem realizar ataques de extorsão diretamente nas organizações comprometidas.

Uma avenida de exploração mais insidiosa e potencialmente lucrativa envolve a criação de ofertas falsas de emprego e esquemas de patrocínio de vistos. A Computer Weekly entende que algumas vítimas a jusante, indivíduos que procuram se mudar para o Reino Unido, foram enganados de somas significativas, com relatórios indicando perdas de até 20.000 libras por vistos e ofertas de emprego aparentemente legítimos que nunca se materializaram.

Em resposta a esta campanha, o Mimecast já implementou recursos abrangentes de detecção em sua plataforma de segurança de email para identificar e bloquear e -mails de entrada associados. A empresa continua monitorando quaisquer novos desenvolvimentos relacionados a essas ameaças.

Para organizações que utilizam o serviço SMS, Mimecast recomenda várias etapas cruciais para aprimorar sua postura de segurança:

  • Implantar recursos de segurança de email: Implementar soluções que podem detectar a representação do governo e os padrões suspeitos de URL. Isso inclui a reescrita de URL e a caixa de areia para analisar os links antes da interação do usuário.
  • Aplicar a autenticação multifator (MFA): Estabeleça e aplique o MFA para acesso ao SMS. As organizações também devem girar essas credenciais com frequência e monitorar o SMS é responsável por padrões incomuns de acesso ou localizações de login.
  • Forneça treinamento abrangente: Eduque os funcionários com acesso ao SMS sobre comunicações genuínas do escritório em casa e domínios oficiais de email. Enfatize a importância de verificar as notificações urgentes antes de agir. Isso deve ser acoplado ao treinamento e simulações gerais de consciência de phishing.
  • Implementar procedimentos de verificação: Configure procedimentos de verificação robustos para todas as comunicações relacionadas ao SMS. Incorpore o compromisso de SMS nos protocolos de resposta a incidentes existentes e, sempre que possível, segregará as tarefas do SMS para evitar cenários de ponto de falha de um ponto único.

Source: Mimecast identifica a campanha de phishing SMS do escritório em casa