Új adathalász kampány célozza a gyártóvállalatokat

A kiberbűnözők egy új, célzott adathalász kampányban a gyártóvállalatokat veszik célba. A támadók ezúttal nem küldik el azonnal az adathalász hivatkozást, hanem előbb üzleti levelezést kezdeményeznek a kiszemelt cégek munkatársaival, hogy elnyerjék a bizalmukat. A Kaspersky kutatói szerint az e-mailek szövege nagy valószínűséggel nagy nyelvi modellek (large language model, LLM) segítségével készült. A kampány a cikk megjelenésekor is aktív volt.

A támadás első szakasza a bizalom kialakítására épül. A támadók első lépésben ingyenes levelezőszolgáltatóknál regisztrált e-mail-címekről veszik fel a kapcsolatot a célpontokkal, majd úgy mutatkoznak be, mintha leendő ügyfelek lennének. (Az e-mail címek önmagukban nem keltenek gyanút, mivel kisebb vállalkozások gyakran használnak hasonló szolgáltatásokat üzleti levelezésre is.) Bár a kiszemelt vállalatok különböző országokban működnek, (a kutatók Oroszországban, Csehországban, Malajziában és Egyiptomban is azonosítottak ilyen támadásokat), a támadók minden esetben angol nyelven kommunikálnak.

Az első üzenetben a vállalat által gyártott termékekről érdeklődnek, méghozzá valós terméknevekre hivatkozva. Ez arra utal, hogy a támadók minden célpontról előzetes információgyűjtést végeznek, és nem ugyanazt a sablonlevelet küldik az adott iparág szereplőinek. Ha a címzett válaszol, a támadók további üzenetekkel folytatják a levelezést. Előfordul, hogy még néhány e-mail-t váltanak, látszólag műszaki részleteket tisztázva vagy kiegészítő kérdéseket feltéve, mielőtt rátérnének valódi céljukra, a vállalati e-mail-fiók hitelesítő adatainak megszerzésére. Gyakran azonban már a második levélben elküldik az adathalász hivatkozást.

A támadók részletes specifikációkat küldenek egy olyan termékről, amely iránt állítólag érdeklődnek, megkérdezik, hogy a termék egy mellékelt vázlat alapján gravírozható-e, vagy más ürüggyel próbálják rávenni az áldozatot az általuk küldött fájl megnyitására.

1. ábra kép Adathalász hivatkozással záruló levelezés

Valójában a hivatkozás nem egy dokumentumra mutat. A felhasználó egy olyan adathalász weboldalra jut, amely egy ismert PDF-kezelő felhőszolgáltatás felületét utánozza. A „Download” gombra kattintva egy bejelentkezési oldal jelenik meg, ahol a rendszer arra kéri a felhasználót, hogy a bizalmas dokumentum megtekintéséhez adja meg vállalati e-mail-címét és jelszavát, állítólag biztonsági okokból. Amennyiben az áldozat megadja hitelesítő adatait, azok közvetlenül a támadók szerverére kerülnek. A támadók arra építenek, hogy a felhasználó nem kérdőjelezi meg, miért kell vállalati bejelentkezési adatait megadnia egy olyan külső weboldalon, amely semmilyen kapcsolatban nem áll a szervezetével.

A védekezés alapja továbbra is a felhasználói tudatosság

A Kaspersky szerint a mesterséges intelligencia alkalmazása egyre hitelesebbé teszi az adathalász kampányokat, ezért kiemelten fontos a munkavállalók rendszeres biztonságtudatossági képzése. A szakértők szerint a vállalati levelezés védelmét olyan biztonsági megoldásokkal kell kiegészíteni, amelyek már az e-mail-átjárónál képesek detektálni és blokkolni a gyanús üzeneteket.

(kaspersky.com)