当数据工具变得危险时:网络钓鱼活动中使用的MS Power BI链接

由Cofense网络钓鱼防御中心Jhon Cover撰写

网络钓鱼骗局迅速发展,最近的一场运动强调了这些攻击的创造力。 Cofense网络钓鱼防御中心(PDC)确定了一个网络钓鱼系统,该系统使用SharePoint链接将员工带来不信任与合法权力BI报告的不信任。捕获?这些链接旨在窃取用户识别信息,攻击那些信任他们的工作工具的人。

网络犯罪分子利用熟悉的平台并不少见,这项活动揭示了一种特别聪明的方法。通过将网络钓鱼链接纳入SharePoint和Power BI等信任工具中,攻击者依靠用户对这些平台的信心使他们措手不及。这种策略不仅增加了成功的机会,而且还强调了威胁的演员将窃取敏感信息的长度。随着网络钓鱼方法变得越来越有创造力,组织必须专注于定期培训和教育,从而帮助员工学习识别和管理潜在威胁,这一点很重要。

 Microsoft-phish-Power-bi-blog_figure-1.png

图1:企业邮箱正文

在图1中,网络钓鱼企业邮箱智能地伪装成一个合法的共享共享文件,标题为“付款确认”。该企业邮箱以专家的方式设计,以给人以真实性的印象,其中包含了熟悉的品牌和礼貌的格式,员工通常期望合法信息。

这封企业邮箱的意图是创造紧急和好奇心。通过将其翻译为对付款的重大确认,攻击者旨在鼓励接收者毫不犹豫地单击链接。这种方法利用本能来快速回答似乎有关财务问题的重要信息。紧急请求和正式文件的出现的结合使企业邮箱特别令人信服。这导致接受者冲动行动,并最终增加了他们对盗窃身份或其他恶意行为的脆弱性。

Microsoft-phish-Power-bi-blog_figure-2.png

图2:Power BI页面

 

用户单击企业邮箱中的“打开”按钮,并将其重定向到合法的Power BI链接,该链接最初会产生安全感。该页面似乎是真实的,它显示了用户识别的Power BI熟悉接口。可以在图2中咨询。但是,关键欺骗在于下一步:邀请用户单击“打开文档”,这是网络钓鱼链接所在的地方。这种策略巧妙地利用了对Power BI的相关信心,这使用户可以轻松忽略潜在的危险信号。

用户可以找到意外文档的请求,尤其是如果他们不打算以这种方式接收文件。此外,缺乏标准安全提示(用户通常与安全文档共享)也表明有问题。

Microsoft-phish-Power-bi-blog_figure-3.png

图3:网络钓鱼页面

单击“打开文档”后,将用户带到看起来像标准的Microsoft连接屏幕的页面,如图3所示,在目标页面上使用的熟悉的攻击者用于鼓励人们输入其身份信息。乍一看,这似乎是真实的,并带有通常的Microsoft品牌和Microsoft Connection提示。但是,有微妙的迹象表明有问题。 URL与Microsoft的官方地址不符,并且为共享文档重新融合识别信息的请求是不寻常的。这些小细节很容易忽略,但是清楚地表明,此页面是旨在捕获连接信息的网络钓鱼尝试。

这项网络钓鱼活动展示了演员用来利用SharePoint和Power BI等信任平台的演员的演变,鼓励用户提供敏感信息。通过利用熟悉的模型并将其重定向到合法服务,威胁参与者使自动防御能力更难检测这些骗局。通过通过我们的网络钓鱼防御中心(PDC)提供的Cofense(MPDR)对网络钓鱼威胁的检测和响应,组织获得了必不可少的保护层,帮助员工识别和报告可疑企业邮箱。我们完整的以人为中心的方法使我们能够掌握自动化系统中通常缺乏的威胁,从而确保您的业务受到现代网络钓鱼攻击的保护。

妥协指标 IP
hxxps(://)emplast(。)it / pagine / changelang(。)asp? gooback = hxxps (: //)Carbomer(。)com /users /? DW = 5218 31(。)14(。)143(。)38
hxxps(://)Carbomer(。)com /users /? DW = 5218 173(。)201(。)191(。)4
hxxps(://)app(。)powerbi(。)com /view? r = eyjriodmoguzgutytu4os00 mdu0lwe3odmtzgixjexjexmtu1ogu3iiiwidci6imjkmmwriodmwriodmy lwywy2qtning 20(。)41(。)4(。)104
hxxps(://)连接(。)ConnectPortal(。)Tech / common / common / oauth2 / v2(。)0 / authorriser? client_id = 104(。)26(。)10(。)78

Cofense引用的所有第三方品牌,无论是否以徽标的形式,名称形式,产品表格的形式,仍然是其各自持有人的财产,并且使用这些品牌绝不表示Cofense与商标之间没有关系持有者。本博客中有关最终点保护的旁路的所有观察结果都是基于在特定的一组系统配置上的给定时刻的观察结果。随后的更新或不同的配置可以有效阻止这些威胁或类似威胁。过去的表现并不能表示未来的结果。

   

名称和徽标Cofense®和Phishme®以及此博客上显示的Cofense服务的任何其他产品或名称或徽标是Cofense Inc.的品牌或注册商标。 

分享此文章:

相关文章