IKEA under angreb af intern phishing-kampagne

For nylig IKEA, et svensk-oprindende hollandsk-hovedkvarter multinationalt konglomerat, rapporterede bølgerne af en intern phishing-kampagne. Trusselaktører brugte interne kompromitterede servere til at sende virksomhedens medarbejdere e-mails med ondsindede vedhæftede filer. Cybersikkerhedsspecialister siger, at lignende teknikker, hackere brugte i de seneste kampagner for at sprede Emotet- og Qakbot-trojanske heste. Hele kompleksiteten af ​​situationen hentyder til, at der kan være mulige cybersikkerhedstrusler mod virksomheden. Selvom der ikke blev givet yderligere detaljer.

Trusselaktører angreb IKEA med en intern phishing-kampagne

Normalt ved at udføre angreb som dette, trusselsaktører ville kompromittere interne Microsoft Exchange-servere ved hjælp af ProxyLogin og ProxyShell sårbarheder. Så snart de får adgang til serveren, begynder de at udføre svarkædeangreb mod medarbejdere med stjålne virksomheds-e-mails. Når de bliver sendt som svarkæde-e-mails fra virksomheden, giver de helt sikkert en følelse af legitimitet.

“Det betyder, at angrebet kan komme via e-mail fra en, som du arbejder med, fra enhver ekstern organisation, og som svar på en allerede igangværende samtale. Det er derfor svært at opdage, hvilket vi beder dig om at være ekstra forsigtig med,” går ind en intern e-mail sendt til IKEA medarbejdere.

Som IT-specialisterne i IKEA siger, advarselsskiltene, du skal kigge efter, hvis e-mailen er ondsindet, er syv cifre i slutningen af ​​enhver vedhæftet fil. Virksomheden bad også medarbejderne om ikke at åbne nogen e-mails sendt til dem og straks rapportere dem til it-afdelingen. Også som en sikkerhedsforanstaltning, virksomhedens ledelse i forhold til deres bekymringer begrænsede medarbejdernes mulighed for at hente e-mails, der kan ende i medarbejdernes karantænebokse.

IKEA under angreb af intern phishing-kampagne
IKEA phishing-e-mails indeholdt ondsindet vedhæftet fil

De ondsindede e-mails indeholdt URL'er, der ville omdirigere browseren til en download med titlen "charts.zip", som havde et Excel-dokument. Potentielle modtagere af sådanne e-mails blev bedt om at klikke på aktiveringsknapperne for at se den vedhæftede fil. Naturligvis aktiverede sådanne handlinger straks de ondsindede makroer. De downloader igen filer med titlen 'besta.ocx,’ ’bestb.ocx,’ og 'bestc.ocx’ fra et eksternt sted og gem dem i C:\Datop folder. Nu omdøbte DLL-filer begynder udførelsesprocessen med kommandoen regsvr32.exe for at installere malware-nyttelasten.

Sådan ved du, om jeg har modtaget en phishing-e-mail?

Du kan sige, at phishere i disse dage er voldsomme, og de "Du vandt 1 millioner besvar venligst denne e-mail” phishere, der desperat forsøger at følge med tiden ( Fortæl mig, hvem der er de mennesker, der reagerer på dem, selvom). I dag trusselsaktører anvende mere snedige måder at narre dig til at give dine oplysninger.

Nu, mens jeg skriver dette, tænker jeg tilbage på det kvindeopkald fra angiveligt en bank og spekulerer stadig på, om det var en phisher. Men tilbage på sporet: den bedste løsning på et problem er at forhindre det. Kend de næste gennemprøvede tips til registrering af phishing-e-mail:

  • Umatchede e-mail-domæner. Også selvom du har modtaget en e-mail, der hævder at være sendt fra Microsoft som eksempel, se omhyggeligt efter domænenavnet, hvis de matcher. Det kan være sådan, at selve mailen er sendt fra Micnosft.com, det sikre tegn på fidus;
  • Uventede vedhæftede filer eller mistænkelige links. Hvis mistanken er, at e-mailen kan være en fidus, skal du ikke klikke på nogen vedhæftede filer eller links. Du kan tjekke den rigtige omdirigeringsadresse ved blot at pege med musen på linket, og den skulle dukke op efter;
  • Vær især forsigtig med eventuelle links og vedhæftede filer

  • Generiske hilsner. Det må være mærkeligt at modtage en e-mail fra det firma, du tidligere har haft kontakt med med en dyster hilsen som "Dear Sir or Madam". Behøver ikke at nævne, at en e-mail fra et helt ukendt firma kan antyde hundrede procent af noget svindel;
  • Stavemåde og dårlig grammatik. Hvis en e-mail har åbenlyse grammatik- eller stavefejl, kan det være en anden fidus. Nogle gange gør phishere det bevidst for at undgå opdagelse, eller det kan være en akavet oversættelse fra et andet sprog. Under alle omstændigheder har professionelle virksomheder ofte redaktører til at sikre kvaliteten af ​​deres korrespondance, så en e-mail, du har modtaget med "Hilo yu", kan flyttes til junk;
  • Nogle presserende opfordringer til trussel eller handling. En e-mail fyldt med gentagne hasteopkald bør advare dig, især hvis der ikke er nogen tydelige forklaringer på det. I stedet er det bare en trussel, trussel og her den magiske løsning: bare gør dette. Hold dit angstniveau lavt og læs e-mailen omhyggeligt en gang til og tjek alt om det.
  • Om Andrew Nail

    Cybersikkerhedsjournalist fra Montreal, Canada. Studerede kommunikationsvidenskab på Universite de Montreal. Jeg var ikke sikker på, om et journalistjob er det, jeg vil gøre i mit liv, men i forbindelse med tekniske videnskaber, det er præcis, hvad jeg kan lide at gøre. Mit job er at fange de mest aktuelle trends i cybersikkerhedsverdenen og hjælpe folk med at håndtere malware, de har på deres pc'er.

    Tjek også

    Svindlere opretter domæner til handel med aktier og kryptovalutaer

    Investeringsdomæner til handel med falske aktier og kryptovalutaer

    I begyndelsen af 2021 experts from the CERT-GIB center saw a significant rise in

    top 10 de mest populære svindel af 2021

    top 10 den mest populære phishing-svindel 2021

    Analyserne fra Positive Technologies udgav for nylig en rapport, hvor de diskuterede de mest almindelige …

    Efterlad et Svar