به تازگی یک کمپین فیشینگ در حال استفاده از هشدارهای WeTransfer، به عنوان جایگزینی برای URLهای مخرب (که معمولاً در این نوع حملات استفاده میشود)، شناسایی شد. این کمپین فیشینگ توانسته با موفقیت از دروازههای امنیتی ایمیل که توسط مایکروسافت، پروفپوینت و سیمنتک توسعه یافتهاند، عبور کند.
WeTransfer یک فضای ابری انتقال دیتا است که از ارسال و دریافت فایلهای تا 2 گیگابایت به صورت رایگان و تا 20 گیگابایت برای سرویس خریداری شده، پشتیبانی میکند.
با توجه به تحقیقات به دست آمده در مرکز دفاع فیشینگ، طیف گستردهای از افراد با جایگاه بالا در حوزههایی مانند بانک و رسانه، مورد هدف قرار گرفتهاند.
اعلانهای انتقال فایل WeTransfer، با پیامهای فیشینگ ترکیب شده و سپس در صندوقهای ورودی هدفهای مورد نظر وارد شدند و با کمک لینکهای WeTransfer توانستند از دروازه الگوریتم شناسایی ایمیلهای مخرب رد شوند.
برای اینکه اعلان WeTransfer مقاعدکنندهتر به نظر برسد، یادداشتهای سفارشی را به ایمیلها اضافه میکردند و اغلب فاکتورهایی را برای مخفی کردن انتخاب میکردند که در معرض مشاهده باشند.
این یک تکنیک فیشینگ بسیار مرسوم است که برای قربانیان با اطلاعات پایین که احتمال دارد روی لینکها کلیک کنند طراحی شده است. وگرنه افراد با مطلع هرگز روی این لینکها کلیک نمیکنند.
بعد از اینکه قربانیها روی قسمت “دریافت فایل” اعلان WeTransfer (که حالا تمام مراحل امنیتی را نیز رد کرده است) کلیک کردند، به صفحه دانلود WeTransfer که در آن یک فایل HTM یا HTML وجود دارد هدایت میشوند و بدین ترتیب فایل توسط قربانی دانلود میشود.
هنگامی که فایل HTML دانلود شده باز میشود، صفحه فیشینگ مورد نظر به عنوان صفحه پیشفرض مرورگر قربانی، قرار میگیرد و مرحله نهایی برای فریب دادن آنها و دریافت اطلاعات حساس آنها، به وقوع میپیوندد.
هفته گذشته مشاهده شد که فیشرها در حال استفاده از یک عنصر مبتنی بر html هستند تا URLهای مخرب را از آنتی اسپم در امان نگه دارند. یک تکنیک که به آنها کمک کرد ایتیپی آفیس 365 (Advanced Threat Protection) را دور بزنند و پیامهای خود را به مشتریان آمریکایی تحویل دهند.