Nova prijetnja: UNC6293 i lažni napadi putem e-pošte od strane ruskih skupina
Grupa za prijetnje koja se nalazi pod okriljem Googlea, Google Threat Intelligence Group (GTIG), nedavno je objavila informacije o novom prijetiteljskom akteru označenom kao UNC6293. Ova skupina, za koju se vjeruje da je povezana s ruskom državom, ciljaju ugledne akademike i kritičare države. Prema izvještajima, žrtve primaju phishing e-pošte koristeći lažne adrese ‘@state.gov’ u CC polju kako bi pridobile povjerenje. Međutim, umjesto trenutnog slanja zloćudnih elemenata, napadači primjenjuju taktike društvenog inženjeringa kako bi izgradili odnose sa svojim metama.
Kako napadači djeluju?
Googleovi istraživači otkrili su polagan, ali promišljen pristup koji napadači koriste. Često šalju personalizirane e-pošte i pozivaju svoje žrtve na privatne razgovore ili sastanke. Na primjer, u jednom od primjera koje je podijelila Googleova tim za prijetnje, britanski istraživač Keir Giles dobio je lažni e-mail iz američkog Ministarstva vanjskih poslova, za koji se vjeruje da je dio kampanje UNC6293. Ako pratimo Gilesovu objavu na LinkedInu, otkriva da su nekoliko njegovih e-mail računa bili meta složenog napada preuzimanja računa, koji je uključivao imitaciju američkog State Departmenta.
Kako napad funkcionira?
U napadu, žrtve primaju benigni PDF prilog koji je dizajniran da izgleda kao pozivnica za siguran pristup (lažnom) oblak okruženju Ministarstva vanjskih poslova. Ova web stranica, koja je ključna za napadače, omogućava im, prema Googleovim sumnjama, pristup korisničkom Gmail računu. Žrtve su vođene u kreiranje lozinke specifične za aplikaciju (ASP) na account.google.com, koju zatim dijele s napadačima. Google objašnjava da su ASP-ovi nasumično generirane lozinke od 16 znakova koje omogućuju trećim aplikacijama pristup vašem Google računu, a namijenjene su aplikacijama i uređajima koji ne podržavaju značajke poput dvofaktorske autentifikacije (2SV).
Savjeti za zaštitu od sličnih napada
- Izbjegavajte otvaranje privitaka iz e-pošte od nepoznatih adresa.
- Nikada ne dijelite svoje korisničke podatke s nepoznatim osobama.
- Povremeno provjeravajte i opozivajte ASP-ove koji vam nisu potrebni.
Google također naglašava da korisnici mogu stvoriti ili opozvati ASP-ove u bilo kojem trenutku, a na njihovoj stranici čak se savjetuje da ASP-ovi “nisu preporučeni i suvišni u većini slučajeva.” Iako napadi dolaze u različitim oblicima, društveni inženjering i phishing ostaju izuzetno učinkoviti, a uz malo dodatnog razumijevanja i obuke, relativno su ih lako prepoznati.
Zaključak
Dok digitalni pejzaž postaje sve kompleksniji, temeljna pravila zaštite ostaju nepromijenjena. Uvijek budite oprezni s e-poštom koju primate, posebno od nepoznatih izvora. Informirajte se, educirajte se i osigurajte svoje digitalne račune kako biste zaštitili svoje osobne podatke od prijetnji poput UNC6293.
