Mimecast identificato Una campagna di phishing rivolta alle organizzazioni del Regno Unito sponsorizzando i lavoratori e gli studenti migranti, sfruttando il marchio del Ministero degli Interni all’interno del sistema di gestione delle sponsorizzazioni (SMS) per compromettere le credenziali per lo sfruttamento finanziario e il furto di dati.
I criminali informatici stanno sfruttando il marchio del Ministero degli Interni in una campagna di phishing appena identificata, prendendo di mira i titolari di licenze di sponsor immigrato nel Regno Unito che partecipano al governo Sistema di gestione della sponsorizzazione. Questo sistema è progettato principalmente per i datori di lavoro che sponsorizzano i visti nelle categorie di lavoratori lavoratori e temporanei, nonché le istituzioni che sponsorizzano i visti nelle categorie di studenti e bambini. Le sue funzioni fondamentali includono la gestione della creazione e dell’assegnazione dei certificati di sponsorizzazione per potenziali dipendenti o studenti e la segnalazione di cambiamenti delle circostanze per gli immigrati sponsorizzati.
La campagna, identificata da Samantha Clarke, Hiwot Mendahun e Ankit Gupta del team di ricerca sulle minacce di Mimecast, uno specialista della sicurezza e -mail, sembrano cercare principalmente di compromettere le credenziali per il successivo sfruttamento finanziario e furto di dati. Il team di Mimecast ha dichiarato che questa campagna presenta una minaccia significativa per il sistema di immigrazione del Regno Unito, con gli aggressori che tentano di compromettere l’accesso al sistema di gestione della sponsorizzazione per un ampio sfruttamento finanziario e dei dati.
Gli attori delle minacce distribuiscono e -mail fraudolente che impersonano le comunicazioni ufficiali del Ministero degli Interni, in genere inviate agli indirizzi e -mail organizzativi generali. Queste e -mail contengono avvertimenti urgenti sui problemi di conformità o la sospensione dell’account e includono collegamenti dannosi che reindirizzano i destinatari alle pagine di accesso SMS false progettate per raccogliere ID utente e password.
La natura sistematica della campagna inizia con e -mail di phishing che inizialmente sembrano imitare da vicino una notifica autentica degli uffici domestici. Questi messaggi sono presentati come notifiche urgenti o avvisi di sistema che richiedono una pronta attenzione. Tuttavia, il loro vero scopo è quello di indirizzare gli utenti a falsificare le pagine di accesso per catturare le credenziali SMS delle vittime. Un’analisi tecnica più profonda condotta dal team di Mimecast ha rivelato che gli autori stanno impiegando URL gated CAPTCHA come meccanismo di filtraggio iniziale.
Questo è seguito dal reindirizzamento a pagine di phishing controllate dagli attaccanti, che sono cloni diretti dell’articolo autentico. Queste pagine clonate incorporano HTML e cancellato, collegamenti alle attività ufficiali del governo del Regno Unito e modifiche minime ma critiche al processo di presentazione della forma. Il team Mimecast ha osservato che gli attori delle minacce dimostrano una comprensione avanzata dei modelli di comunicazione del governo e delle aspettative degli utenti all’interno del sistema di immigrazione del Regno Unito.
L’obiettivo di questo attacco di phishing sembra essere duplice, prendendo di mira entrambe le organizzazioni sponsorizzando legittimamente gli immigrati nel Regno Unito e negli stessi immigrati. Una volta che le credenziali SMS delle vittime primarie sono compromesse, gli aggressori perseguono diversi obiettivi di monetizzazione diversi. Il principale tra questi obiettivi sembra essere la vendita di accesso a account compromessi sui forum Web Dark per facilitare l’emissione di falsi certificati di sponsorizzazione (COS). Inoltre, gli aggressori conducono attacchi di estorsione direttamente sulle organizzazioni stesse. Una strada per lo sfruttamento più oscurata e potenzialmente più redditizia prevede la creazione di offerte di lavoro false e sponsorizzazioni di visto. Secondo quanto riferito, le persone che cercano di trasferirsi nel Regno Unito sono state ingannate fino a £ 20.000 da questi criminali informatici per quelli che sembravano essere visti legittimi e offerte di lavoro che non si sono mai materializzate.
Mimecast ha implementato capacità di rilevamento complete per i suoi clienti che potrebbero essere a rischio di questa campagna di phishing. La piattaforma di sicurezza e -mail dell’azienda è progettata per rilevare e bloccare le e -mail in arrivo associate a questa attività e Mimecast continua a monitorare eventuali ulteriori sviluppi. Le organizzazioni che utilizzano il servizio SMS dovrebbero prendere in considerazione l’implementazione di diverse misure di protezione. Questi includono la distribuzione di funzionalità di sicurezza e -mail per rilevare l’impersone del governo e i modelli di URL sospetti e l’implementazione della riscrittura degli URL e del sandboxing per analizzare i collegamenti prima dell’interazione dell’utente.
Si consiglia inoltre di stabilire e far rispettare l’autenticazione multifattoriale (MFA) sull’accesso SMS, ruotare frequentemente queste credenziali e monitorare gli SMS per i modelli di accesso insoliti o le posizioni di accesso che appaiono incoerenti. Le organizzazioni dovrebbero coinvolgere le persone con l’accesso a SMS su comunicazioni autentiche per la casa e domini di posta elettronica ufficiali, sottolineando l’importanza di verificare le notifiche urgenti prima di agire. Ciò dovrebbe essere accoppiato con formazione e simulazioni generali di consapevolezza di phishing. Inoltre, l’impostazione di procedure di verifica per le comunicazioni relative all’SMS, incorporando il compromesso di SMS nei protocolli di risposta agli incidenti e separando i dazi SMS ove possibile può aiutare a mitigare gli scenari a punto singolo di fallimento. Il Ministero degli Interni è stato contattato per un commento su questa campagna.
