Mimecast identificado Uma campanha de phishing direcionada às organizações do Reino Unido patrocinando trabalhadores e estudantes migrantes, explorando a marca do escritório em casa no Sistema de Gerenciamento de Patrocínio (SMS) para comprometer as credenciais de exploração financeira e roubo de dados.
Os criminosos cibernéticos estão explorando a marca do Home Office em uma campanha de phishing recém -identificada, direcionando os detentores de licenças de patrocinadores de imigrantes do Reino Unido que participam do governo do governo Sistema de gerenciamento de patrocínio. Este sistema é projetado principalmente para empregadores que patrocinam vistos nas categorias de trabalhadores e trabalhadores temporários, bem como instituições que patrocinam vistos nas categorias de estudantes e filhos. Suas funções principais incluem o gerenciamento da criação e atribuição de certificados de patrocínio para futuros funcionários ou estudantes e relatórios de mudanças de circunstâncias para imigrantes patrocinados.
A campanha, identificada por Samantha Clarke, Hiwot Mendahun e Ankit Gupta, da equipe de pesquisa de ameaças da Mimecast, especialista em segurança por e -mail, parece procurar principalmente comprometer credenciais para a exploração financeira subsequente e o roubo de dados. A equipe Mimecast afirmou que esta campanha apresenta uma ameaça significativa ao sistema de imigração do Reino Unido, com os invasores tentando comprometer o acesso ao sistema de gerenciamento de patrocínio para uma extensa exploração financeira e de dados.
Os atores de ameaças implantam e -mails fraudulentos que personalizam as comunicações oficiais do Home Office, normalmente enviadas para endereços de email organizacional geral. Esses e -mails contêm avisos urgentes sobre problemas de conformidade ou suspensão de conta e incluem links maliciosos que redirecionam os destinatários para convencer as páginas de login de SMS falsas projetadas para colher IDs e senhas de usuário.
A natureza sistemática da campanha começa com e -mails de phishing que parecem inicialmente imitar de perto uma notificação genuína do escritório em casa. Essas mensagens são apresentadas como notificações urgentes ou alertas do sistema que exigem atenção imediata. No entanto, seu verdadeiro objetivo é direcionar os usuários a fingir páginas de login para capturar as credenciais de SMS das vítimas. Uma análise técnica mais profunda conduzida pela equipe Mimecast revelou que os autores estão empregando URLs dependentes do CAPTCHA como um mecanismo de filtragem inicial.
Isto é seguido de redirecionamento para páginas de phishing controladas por atacantes, que são clones diretos do artigo genuíno. Essas páginas clonadas incorporam HTML roubados, links para ativos oficiais do governo do Reino Unido e mudanças mínimas, mas críticas, no processo de envio de formulários. A equipe Mimecast observou que os atores de ameaças demonstram entendimento avançado dos padrões de comunicação do governo e expectativas do usuário no sistema de imigração do Reino Unido.
O objetivo desse ataque de phishing parece ser duplo, visando ambas as organizações legitimamente patrocinando imigrantes para o Reino Unido e os próprios imigrantes. Uma vez comprometidos as credenciais de SMS das vítimas primárias, os atacantes buscam vários objetivos diferentes de monetização. O principal entre esses objetivos parece ser a venda de acesso a contas comprometidas nos fóruns da Web Dark para facilitar a emissão de certificados falsos de patrocínio (COS). Além disso, os atacantes conduzem ataques de extorsão diretamente nas próprias organizações. Uma avenida mais obscurecida e potencialmente mais lucrativa para exploração envolve a criação de ofertas de emprego falsas e esquemas de patrocínio de vistos. Os indivíduos que procuram se mudar para o Reino Unido foram enganados de até 20.000 libras por esses criminosos cibernéticos pelo que parecia ser vistos e ofertas de emprego legítimos que nunca se materializaram.
A Mimecast implementou recursos abrangentes de detecção para seus clientes que podem estar em risco dessa campanha de phishing. A plataforma de segurança de email da empresa foi projetada para detectar e bloquear e -mails recebidos associados a esta atividade, e o Mimecast continua a monitorar qualquer desenvolvimento adicional. As organizações que utilizam o serviço SMS devem considerar a implementação de várias medidas de proteção. Isso inclui a implantação de recursos de segurança de email para detectar a representação do governo e os padrões suspeitos de URL e implementar a reescrita e caixa de areia de URL para analisar links antes da interação do usuário.
Também é aconselhado estabelecer e aplicar a autenticação multifatorial (MFA) no acesso ao SMS, girar essas credenciais com frequência e monitorar o SMS é responsável por padrões de acesso incomuns ou localizações de login que parecem inconsistentes. As organizações devem envolver indivíduos com acesso ao SMS em comunicações genuínas do Home Office e domínios oficiais de email, enfatizando a importância de verificar as notificações urgentes antes de agir. Isso deve ser acoplado ao treinamento e simulações gerais de consciência de phishing. Além disso, a configuração de procedimentos de verificação para comunicações relacionadas ao SMS, incorporando o comprometimento do SMS nos protocolos de resposta a incidentes e segregar tarefas do SMS, sempre que possível, pode ajudar a mitigar cenários de ponto de falha. O Ministério do Interior foi contatado para comentar sobre esta campanha.
