Enfrentado en entornos protegidos por: Microsoft, FireEye
Por Naresh Edara Centro de defensa contra el phishing de Cofense
El Centro de Defensa contra el Phishing (PDC) de Cofense ha observado una campaña de correo electrónico de phishing en extremo falsificada que imita a la Oficina de Impuestos de Australia (ATO) y al sitio web MyGov, tratando de recoger las credenciales de inicio de sesión de MyGov. El PDC ha observado estas campañas durante la época de impuestos, y al azar, bajo la apariencia de una demostración de cuenta o alertas de prevención de fraude. Los intentos de phishing de ATO no son infrecuentes en la región APAC y han estado frecuentando a los clientes australianos durante algún tiempo. Estas campañas intentan crear una sensación de franqueza/confianza yuxtapuesto con tácticas de miedo para tratar de influir en las víctimas para que interactúen con el correo electrónico.
Figura 1: Cuerpo del correo electrónico
El cuerpo del correo electrónico está diseñado con logotipos y marcas legítimos del gobierno australiano para crear franqueza y confianza para que los destinatarios hagan clic en el enlace de phishing e ingresen sus credenciales de inicio de sesión de MyGov. El actor de amenazas ha falsificado la dirección de origen para que parezca que proviene de ATO. Intentan certificar la seguridad del destinatario pretendiendo controlar la actividad no autorizada y solicitando al favorecido que verifique su cuenta adecuado a una actividad inusual. Si estos trucos funcionan a distinción del actor de amenazas, el objetivo hará clic en el clavija blanco con la ceremonial “Comprobar”.
Figura 2: Página de phishing
La página de phishing es una réplica exacta de la página de inicio de sesión legítima de MyGov para ATO. Adicionalmente de utilizar los logotipos del Gobierno de Australia y MyGov una vez más, las URL vinculadas a los logotipos y el texto con hipervínculos incluso lo llevan a la página oficial de MyGov. Posiblemente otra táctica para convencer a la víctima de que la página es legítima. Sin bloqueo, el nombre de dominio del sitio web es un raudo regalo. Conveniente a su gran parecido y al uso de posibles errores tipográficos en el sitio auténtico, muchos usuarios pueden ser víctimas de este phishing e ingresar sus credenciales.
Esta campaña ilustra cómo los sistemas automatizados no logran pasar a los humanos y el sorpresa de red de las personas como sensores, detectando e informando correos electrónicos sospechosos. Muestra cómo los actores de amenazas están tratando de beneficiarse la franqueza y la confianza yuxtapuesto con tácticas de miedo para que los usuarios verifiquen su cuenta, mientras que en sinceridad están intentando obtener credenciales con estas tácticas. Con Cofense Managed Phishing and Defense, proporcionado a través de nuestro Phishing Defense Center (PDC), las empresas se benefician de nuestra visión completa de las amenazas reales de phishing. En cinco abriles, ningún cliente que usa Cofense PDC ha experimentado una brecha de seguridad como resultado de un ataque de phishing.
Indicadores de compromiso | IP |
mi-gobierno[.]org/mygov/ | 206.189.157.71 |
Todas las marcas comerciales de terceros a las que hace remisión Cofense, ya sea en forma de logotipo, de nombre o de producto, o de otro modo, siguen siendo propiedad de sus respectivos propietarios, y el uso de estas marcas comerciales de ninguna modo indica relación alguna entre Cofense y los propietarios de las marcas comerciales. Cualquier observación contenida en este blog con respecto a la elusión de las protecciones de punto final se plinto en observaciones en un punto en el tiempo basado en un conjunto específico de configuraciones del sistema. Las actualizaciones posteriores o diferentes configuraciones pueden ser efectivas para detener estas amenazas u otras similares. El rendimiento pasado no es indicativo de resultados futuros.
Los nombres y logotipos de Cofense® y PhishMe®, así como cualquier otro nombre o logotipo de producto o servicio de Cofense que se muestre en este blog son marcas registradas o marcas comerciales de Cofense Inc.