IKEA under angrep av intern phishing-kampanje

IKEA under angrep av intern phishing-kampanje
IKEA phishing emails Microsoft

Nylig IKEA, et multinasjonalt konglomerat med svensk opprinnelse nederlandsk med hovedkontor, rapporterte bølgene til en intern phishing-kampanje. Trusselaktører brukte interne kompromitterte servere for å sende selskapets ansatte e-post med ondsinnede vedlegg. Cybersikkerhetsspesialister sier lignende teknikker hackere brukte i nylige kampanjer for å spre Emotet- og Qakbot-trojanere. Hele kompleksiteten i situasjonen antyder at det kan være mulige cybersikkerhetstrusler mot selskapet. Selv om ingen ytterligere detaljer ble gitt.

Trusselaktører angrep IKEA med en intern phishing-kampanje

Vanligvis i å utføre angrep som dette, trusselaktører ville kompromittere interne Microsoft Exchange-servere ved å bruke ProxyLogin og ProxyShell sårbarheter. Så snart de får tilgang til serveren begynner de å utføre svarkjedeangrep mot ansatte med stjålne bedrifts-e-poster. Når de blir sendt som svarkjeder-e-poster fra selskapet, gir de absolutt en følelse av legitimitet.

“Dette betyr at angrepet kan komme via e-post fra noen du jobber med, fra enhver ekstern organisasjon, og som svar på en allerede pågående samtale. Det er derfor vanskelig å oppdage, som vi ber deg være ekstra forsiktig for,” går inn en intern e-post sendt til IKEA-ansatte.

Som IT-spesialistene til IKEA sier, advarselsskiltene for å se etter hvis e-posten er ondsinnet er syv sifre på slutten av et vedlegg. Selskapet ba også ansatte om ikke å åpne noen e-poster sendt til dem og umiddelbart rapportere dem til IT-avdelingen. Også som et sikkerhetstiltak, selskapets ledelse i forhold til deres bekymringer begrenset ansattes mulighet til å hente e-poster som kan havne i de ansattes karantenebokser.

IKEA under angrep av intern phishing-kampanje
IKEA phishing-e-poster inneholdt ondsinnet vedlegg

De ondsinnede e-postene inneholdt URL-er som ville omdirigere nettleseren til en nedlasting med tittelen "charts.zip" som hadde et Excel-dokument. Potensielle mottakere av slike e-poster ble bedt om å klikke på aktiveringsknappene for å se vedlegget. Selvfølgelig aktiverte slike handlinger umiddelbart de ondsinnede makroene. De laster på sin side ned filer med tittelen 'besta.ocx,’ ‘bestb.ocx,’ og 'bestc.ocx’ fra et eksternt nettsted og lagre dem i C:\Dato mappe. Nå omdøpte DLL-filer begynner kjøringsprosessen med regsvr32.exe-kommandoen for å installere skadevarenyttelasten.

Hvordan vite om jeg har mottatt en phishing-e-post?

Du kan si at phishere i disse dager er heftige og at de "Du vant 1 millioner vennligst svar på denne e-posten» phishere prøver desperat å følge med i tiden ( Fortell meg hvem som er de som svarer dem, selv om). Nå for tiden trusselaktører bruke mer utspekulerte måter å lure deg til å oppgi informasjonen din.

Nå mens jeg skriver dette tenker jeg tilbake på den kvinnelige anropet fra angivelig en bank og lurer fortsatt på om det var en phisher. Men tilbake på sporet: den beste løsningen på et problem er å forhindre det. Kjenn de neste velprøvde tipsene for phishing-e-postoppdagelse:

  • Ikke samsvarende e-postdomener. Selv om du har mottatt en e-post som hevder å være sendt fra Microsoft som et eksempel, se nøye etter domenenavnet hvis de samsvarer. Det kan være slik at selve e-posten ble sendt fra Micnosft.com, det sikre tegn på svindel;
  • Uventede vedlegg eller mistenkelige lenker. Hvis mistanken er at e-posten kan være en svindel, ikke klikk på noen vedlegg eller lenker. Du kan sjekke den virkelige omdirigeringsadressen ved å bare peke med musen på lenken, og den skal vises etter;

    • Vær spesielt forsiktig med eventuelle lenker og vedlegg

  • Generiske hilsener. Det må være rart å motta en e-post fra selskapet du tidligere hadde kontakt med en dyster hilsen som "Dear Sir or Madam". Trenger ikke nevne at en e-post fra et helt ukjent selskap kan antyde hundre prosent om noe svindel;
  • Stavemåte og dårlig grammatikk. Hvis en e-post har åpenbare grammatikk- eller stavefeil, kan det være en annen svindel. Noen ganger gjør phishere det bevisst for å unngå oppdagelse, eller det kan være en vanskelig oversettelse fra et annet språk. I alle fall har profesjonelle selskaper ofte redaktører for å sikre kvaliteten på korrespondansen, slik at en e-post du mottok med «Hilo yu» kan flyttes til søppelpost;
  • Noen presserende oppfordringer om trussel eller handling. En e-post fylt med gjentatte hasteanrop bør varsle deg spesielt hvis det ikke er noen tydelige forklaringer på det. I stedet er det bare en trussel, trussel og her den magiske løsningen: bare gjør dette. Hold angstnivået lavt og les e-posten nøye en gang til og sjekk alt om det.
    • Tags
    Foto av Andrew Nail

    Andrew Nail

    Cybersikkerhetsjournalist fra Montreal, Canada. Studerte kommunikasjonsvitenskap ved Universite de Montreal. Jeg var ikke sikker på om en journalistjobb er det jeg vil gjøre i livet mitt, men i forbindelse med tekniske vitenskaper, det er akkurat det jeg liker å gjøre. Min jobb er å fange opp de nyeste trendene i cybersikkerhetsverdenen og hjelpe folk til å håndtere skadelig programvare de har på PC-ene sine.
    Legg igjen et svar

    Legg igjen et svar

    Tilbake til toppen-knappen