Beágyazott fenyegetés
A Cofense kutatása egy olyan, egyre gyakoribb adathalász technikát mutat be, amelyben a támadók nem hamisítják meg az e-mailt, hanem legitim online szolgáltatások által automatikusan kiküldött üzeneteket használják fel rosszindulatú tartalom terjesztésére. A módszer lényege, hogy a támadók olyan szabadon szerkeszthető mezőkbe – például felhasználónév, értekezlet címe, leírása vagy dokumentumnév – helyeznek el rosszindulatú hivatkozásokat vagy telefonszámokat, amelyek később változtatás nélkül bekerülnek a szolgáltatás által küldött hivatalos e-mailbe.
A kutatás elsősorban a Zoom szolgáltatás visszaélési lehetőségeit mutatja be, de a technika számos más felhőszolgáltatásnál is alkalmazható. A támadó létrehoz egy fiókot, kitölti a szöveges mezőket adathalász tartalommal, majd a rendszer által automatikusan generált értesítő e-mailt egyszerűen továbbítja a célpontnak. Mivel az üzenet valóban a szolgáltató hivatalos levelezőszerveréről érkezik, a DMARC, DKIM és SPF hitelesítési ellenőrzések hibátlanul teljesülnek.
A Cofense szerint különösen veszélyesek a jelszó-visszaállítási értesítések, fiókmódosítási üzenetek, dokumentummegosztások és online értekezlet-meghívók. Egy vizsgált példában a támadók a Zoom egyéni fejléc- és leírásmezőit felhasználva az amerikai társadalombiztosítási hivatal nevében küldtek hamis meghívót, amely végül egy ConnectWise Remote Access eszközt terjesztő oldalra irányította az áldozatot.
A módszer sajátossága, hogy az e-mail technikailag teljesen legitim, a rosszindulatú elem kizárólag a felhasználó által megadott tartalomban jelenik meg. Emiatt a hagyományos levelezésvédelmi rendszerek és a klasszikus adathalászat-felismerési szabályok gyakran nem jelzik veszélyesnek az üzenetet. A Cofense szerint az ilyen támadások felismerésében egyre nagyobb szerepet kap a kontextusalapú elemzés és a felhasználói tudatosság növelése.
