模仿 确定 针对英国组织赞助移民工人和学生的网络钓鱼活动,在赞助管理系统(SMS)中利用家庭办公室品牌,以损害财务利用和数据盗窃的凭据。
网络罪犯正在新确定的网络钓鱼活动中利用家庭办公室品牌,针对英国移民赞助商许可证的持有人 赞助管理系统。该系统主要是为雇主设计的,并在工人和临时工人类别中赞助签证,以及在学生和儿童类别中赞助签证的机构。它的核心功能包括管理为准员工或学生的赞助证书的创建和分配,以及报告赞助移民的情况的变化。
这项运动由萨曼莎·克拉克(Samantha Clarke),希沃特·门达(Hiwot Mendahun)和电子邮件安全专家Mimecast的威胁研究团队的Ankit Gupta确定,似乎主要寻求妥协以妥协凭借后续财务利用和数据盗窃的凭据。模仿小组表示,这项运动对英国移民系统构成了重大威胁,攻击者试图妥协访问赞助系统,以实现广泛的财务和数据开发。
威胁参与者部署欺诈性电子邮件,这些电子邮件含义,这些电子邮件通常发送给一般组织电子邮件地址。这些电子邮件包含有关合规性问题或暂停帐户的紧急警告,并包括将收件人重定向的恶意链接说服旨在收获用户ID和密码的假短信登录页面。
该活动的系统性质始于网络钓鱼电子邮件,最初似乎与真正的家庭办公室通知密切相似。这些消息表示为紧急通知或系统警报,需要及时注意。但是,他们的真正目的是指示用户伪造登录页面以捕获受害者的SMS凭据。 Mimecast团队进行的更深入的技术分析表明,肇事者正在采用验证码门控URL作为初始过滤机制。
接下来是将攻击者控制的网络钓鱼页面重定向,该页面是真正文章的直接克隆。这些克隆的页面纳入了偷窃的HTML,与英国官方政府资产的链接以及对表单提交过程的最小而批判性的更改。模仿小组指出,威胁参与者表现出对英国移民系统内政府沟通方式和用户期望的深入了解。
这次网络钓鱼袭击的目的似乎是双重的,这两个组织都合法地赞助了移民到英国和移民本身。一旦主要受害者的SMS凭证受到损害,攻击者就会追求多个不同的货币化目标。这些目标中的主要主要内容似乎是在黑暗网络论坛上出售对折衷帐户的访问,以促进发行伪造的赞助证书(COS)。此外,攻击者直接对组织本身进行勒索攻击。剥削的途径更加模糊,有利可图的途径涉及伪造工作报价和签证赞助计划的创建。据报道,寻求搬迁到英国的个人因这些网络罪犯的最高20,000英镑而被欺骗,因为这似乎是合法的签证和从未实现的合法签证。
Mimecast已为可能受到此网络钓鱼活动处于危险的客户的客户实施了全面的检测功能。该公司的电子邮件安全平台旨在检测和阻止与此活动相关的传入电子邮件,Mimecast继续监视任何进一步的发展。利用SMS服务的组织应考虑实施多种保护措施。其中包括部署电子邮件安全功能来检测政府的模仿和可疑的URL模式,以及在用户互动之前实施URL重写和沙箱以分析链接。
还建议在SMS访问中建立和执行多因素身份验证(MFA),经常旋转这些凭据,并监视SMS帐户的出现不寻常的访问模式或登录位置,这些位置似乎不一致。组织应与SMS访问的个人参与真正的家庭办公室通讯和官方电子邮件域,并强调在采取行动之前验证紧急通知的重要性。这应该与一般的网络钓鱼意识训练和模拟相结合。此外,设置与SMS相关通信的验证过程,将SMS妥协纳入事件响应协议中,并在可能的情况下隔离SMS职责,可以帮助减轻单点失败的情况。已联系内政部有关此活动的评论。
