Yaklaşık yarım yıl boyunca, İngiltere'deki 100'den fazla Ulusal Sağlık Sistemi (NHS) çalışanına ait çalışma e -posta hesapları, bazıları Microsoft girişlerini çalmayı amaçlayan çeşitli kimlik avı kampanyalarında kullanıldı.
Saldırganlar, onları kaçırdıktan sonra geçen yıl Ekim ayında meşru NHS e -posta hesaplarını kullanmaya başladılar ve en az Nisan 2022'ye kadar kimlik avı faaliyetinde kullanmaya devam ettiler.
NHS
E -posta Güvenlik Inky araştırmacılarına göre, İngiltere ve İskoçya'daki çalışanlara ait NHS e -posta hesaplarından binden fazla kimlik avı mesajı gönderildi.
Araştırmacılar, 139 NHS çalışanının e -posta hesaplarından sunulan iki NHS IP adresinden gelen hileli mesajları izlediler. Inky, müşterilerinde iki adresten kaynaklanan 1.157 hileli e -posta tespit etti.
Inky bugün bir raporda, “NHS, iki adresin posta sistemindeki (NHSMail] çok sayıda hesap için kullanılan röleler olduğunu doğruladı” dedi.
Çoğu durumda, kimlik avı mesajları, Microsoft kimlik bilgilerini isteyen hileli sayfalara bağlı yeni belge teslimi için sahte uyarılar gönderdi.
E -postayı daha güvenilir hale getirmek için, saldırganlar mesajın altına NHS gizlilik feragatnamesi ekledi.
Mürekkep araştırmacılarının topladığı diğer örneklerde, kimlik avı mesajı şirketlerin logolarını ekleyerek Adobe ve Microsoft gibi markaları taklit etti.
Kampanyalar, kapsam açısından geniş ve kimlik bilgilerini çalmaya çalışmanın yanı sıra, saldırganın alıcıya 2 milyon dolarlık büyük bir bağış hakkında bilgi verdiği birkaç gelişmiş ücret örneği var.
Tabii ki, fonları almak potansiyel kurbandan kişisel detaylar şeklinde bir maliyetle geldi (örneğin tam isim ve adres, cep telefonu numarası).
Mesaja cevap vermek, Shyann Huels adını kullanan ve “Uluslararası İlişki konularında Bay Jeff Bezos'un özel sekreteri” gibi davranan birinden cevap verdi.
Yukarıdaki görüntüdeki aynı isim ve mesaj Nisan ayı başlarında dolandırıcılıklarda görülmüştür ve operasyonun arkasındaki birey, şu anda yaklaşık 171.000 dolar değerinde yaklaşık 4.5 bitcoin alan bir kripto para birimi cüzdan adresi vardır.
Inky, kimlik avı kampanyasını keşfettiklerinden beri NHS ile temas halinde. İngiltere ajansı, şirket içi Microsoft Exchange dağıtımlarından bulut hizmetine geçerek Nisan ortasından sonra riski ele almıştır.
Bununla birlikte, mürekkep müşterileri çok daha az sayıda olmasına rağmen hileli mesajlar almaya devam ettikçe, hareket kimlik avı tamamen durdurdu.
Bunun nedeni, NHS'nin ülkede çeşitli teknik çözümlere dayanan on binlerce kuruluş (örneğin hastaneler, klinikler, tedarikçiler, doktor ofisleri) için bir altyapı sağlamasıydı.
Inky'nin güvenlik stratejisi başkan yardımcısı Roger Kay, bu kampanyaların NHS'nin e -posta sunucusunu ihlal etmenin değil, “daha ziyade ayrı ayrı kaçırılan hesapların” sonucu olduğunu vurguluyor.
Microsoft Kimlik Bilgileri Kimlik Avı'nda aktif olarak istismar edildi
Yeni Kimlik Avı Uyarıyor: Doğrulanmış Twitter hesabınız risk altında olabilir
En iyi 10 şifre saldırısı ve nasıl durdurulur
Kimlik avı, Microsoft'u taklit etmek için Azure Static Web sayfaları kullanır
Parola sıfırlamalarındaki tutarlılık, kimlik bilgisi hırsızlığının engellenmesine yardımcı olur
Kaynak: Bleeping Computer