Mimecast geïdentificeerd Een phishing -campagne die zich richt op Britse organisaties die migrerende werknemers en studenten sponsoren, waarbij ze de branding van het thuiskantoor binnen het sponsorbeheersysteem (SMS) benutten om inloggegevens voor financiële uitbuiting en gegevensdiefstal in gevaar te brengen.
Cybercriminelen exploiteren thuiskantoor branding in een nieuw geïdentificeerde phishing -campagne, gericht op houders van Britse immigrantensponsorlicenties die deelnemen aan de overheid Sponsorbeheersysteem. Dit systeem is voornamelijk ontworpen voor werkgevers die visa sponsoren in de categorieën van werknemer en tijdelijke werknemers, evenals instellingen die visa sponsoren in de categorieën studenten en kinderen. De kernfuncties zijn onder meer het beheren en toewijzen van sponsorcertificaten voor potentiële werknemers of studenten, en het melden van wijzigingen van omstandigheden voor gesponsorde immigranten.
De campagne, geïdentificeerd door Samantha Clarke, Hiwot Mendahun en Ankit Gupta van het dreigingsonderzoeksteam van Mimecast, een e -mailbeveiligingsspecialist, lijkt in de eerste plaats te proberen de referenties in gevaar te brengen voor daaropvolgende financiële uitbuiting en gegevensdiefstal. Het Mimecast -team verklaarde dat deze campagne een belangrijke bedreiging vormt voor het Britse immigratiesysteem, waarbij aanvallers proberen de toegang tot het sponsormanagementsysteem te compromitteren voor uitgebreide financiële en gegevensuitbuiting.
De dreigingsactoren implementeren frauduleuze e -mails die zich voordoen als officiële communicatie van het thuiskantoor, meestal verzonden naar algemene e -mailadressen voor organisatorische e -mailadres. Deze e -mails bevatten dringende waarschuwingen over nalevingskwesties of accountophanging en bevatten kwaadaardige links die ontvangers omleiden om nep -sms -inlogpagina’s te overtuigen die zijn ontworpen om gebruikers -ID’s en wachtwoorden te oogsten.
Het systematische karakter van de campagne begint met phishing -e -mails die aanvankelijk een echte kennisgeving van het thuiskantoor lijken na te bootsen. Deze berichten worden gepresenteerd als dringende meldingen of systeemmeldingen die snelle aandacht vereisen. Hun ware doel is echter om gebruikers op te richten om inlogpagina’s te vervalsen om de SMS -referenties van de slachtoffers vast te leggen. Uit een diepere technische analyse van het Mimecast-team bleek dat de daders CAPTCHA-gated URL’s gebruiken als een eerste filteringsmechanisme.
Dit wordt gevolgd door omleiding naar aan aanvallers gecontroleerde phishing-pagina’s, die directe klonen van het echte artikel zijn. Deze gekloonde pagina’s bevatten Pilfered HTML, links naar officiële Britse overheidsactiva en minimale maar cruciale wijzigingen in het formulierinzendingsproces. Het Mimecast -team merkte op dat de dreigingsactoren geavanceerd begrip aantonen van overheidscommunicatiepatronen en gebruikersverwachtingen binnen het Britse immigratiesysteem.
Het doel van deze phishing -aanval lijkt tweeledig te zijn en gericht op beide organisaties die legitiem immigranten sponsoren naar het VK en de immigranten zelf. Zodra de SMS -referenties van de primaire slachtoffers zijn aangetast, nastreven de aanvallers meerdere verschillende doelen voor het genereren van inkomsten na. De belangrijkste van deze doelstellingen lijkt de verkoop te zijn van toegang tot gecompromitteerde accounts op donkere webforums om de uitgifte van nepcertificaten van sponsor (COS) te vergemakkelijken. Bovendien voeren de aanvallers afpersingsaanvallen rechtstreeks op de organisaties zelf uit. Een meer verduisterde en potentieel winstgevender, winstgevend voor uitbuiting omvat het creëren van nepaanbiedingen en visumsponsorschema’s. Personen die naar het VK willen verhuizen, zijn naar verluidt door deze cybercriminelen bedrogen tot £ 20.000 voor wat legitieme visa en vacatures leek te zijn die nooit zijn uitgekomen.
Mimecast heeft uitgebreide detectiemogelijkheden geïmplementeerd voor haar klanten die mogelijk het risico lopen door deze phishing -campagne. Het e -mailbeveiligingsplatform van het bedrijf is ontworpen om inkomende e -mails die aan deze activiteit zijn gekoppeld te detecteren en te blokkeren en Mimecast blijft controleren op verdere ontwikkelingen. Organisaties die de sms -service gebruiken, moeten overwegen verschillende beschermende maatregelen te implementeren. Deze omvatten het implementeren van e -mailbeveiligingsmogelijkheden om de nabootsing van de overheid en verdachte URL -patronen te detecteren, en het implementeren van URL -herschrijven en sandboxen om links te analyseren voorafgaand aan gebruikersinteractie.
Het wordt ook geadviseerd om multifactor -authenticatie (MFA) op SMS -toegang tot stand te brengen en af te dwingen, deze inloggegevens regelmatig te roteren en sms te controleren op ongebruikelijke toegangspatronen of inloglocaties die inconsistent lijken. Organisaties moeten individuen betrekken met SMS -toegang op echte thuiskantoorcommunicatie en officiële e -maildomeinen, waarbij het belang wordt benadrukt van het verifiëren van dringende meldingen voordat ze actie ondernemen. Dit moet worden gekoppeld aan algemene training en simulaties van phishing-bewustzijn. Bovendien kan het instellen van verificatieprocedures voor sms-gerelateerde communicatie, het opnemen van SMS-compromis in incidentresponsprotocollen en het scheiden van sms-taken waar mogelijk kan helpen bij het verminderen van scenario’s voor het bepalen van een punt van failure. Het thuiskantoor is gecontacteerd voor commentaar over deze campagne.
