Mimecast identifié Une campagne de phishing ciblant les organisations britanniques parrainant des travailleurs et des étudiants migrants, exploitant l’image de marque du bureau à domicile au sein du système de gestion de parrainage (SMS) pour compromettre les informations d’identification pour l’exploitation financière et le vol de données.
Les cyber-criminels exploitent l’image de marque du bureau à domicile dans une campagne de phishing nouvellement identifiée, ciblant les détenteurs de licences de sponsors d’immigrants britanniques participant au gouvernement Système de gestion du parrainage. Ce système est principalement conçu pour les employeurs parrainant des visas dans les catégories de travailleurs et de travailleurs temporaires, ainsi que pour les institutions parrainant des visas dans les catégories des étudiants et des enfants. Ses fonctions principales comprennent la gestion de la création et de l’attribution de certificats de parrainage pour les employés ou les étudiants potentiels, et la déclaration des changements de circonstances pour les immigrants sponsorisés.
La campagne, identifiée par Samantha Clarke, Hiwot Mendahun et Ankit Gupta de l’équipe de recherche sur les menaces de Mimecast, spécialiste de la sécurité des e-mails, semble principalement chercher à compromettre les références pour l’exploitation financière et le vol de données ultérieures. L’équipe Mimecast a déclaré que cette campagne présente une menace importante pour le système d’immigration britannique, les attaquants tentant de compromettre l’accès au système de gestion de parrainage pour une vaste exploitation financière et de données.
Les acteurs de la menace déploient des e-mails frauduleux qui ont usuré des communications officielles du bureau à domicile, généralement envoyées aux adresses e-mail organisationnelles générales. Ces e-mails contiennent des avertissements urgents sur les problèmes de conformité ou la suspension de compte et incluent des liens malveillants qui redirigent les destinataires vers des pages de connexion SMS convaincantes conçues pour récolter les identifiants et les mots de passe utilisateur.
La nature systématique de la campagne commence par des e-mails de phishing qui semblent initialement imiter de près une véritable notification du bureau à domicile. Ces messages sont présentés comme des notifications urgentes ou des alertes système nécessitant une attention rapide. Cependant, leur véritable objectif est de diriger les utilisateurs vers des pages de connexion pour capturer les informations d’identification SMS des victimes. Une analyse technique plus approfondie menée par l’équipe Mimecast a révélé que les auteurs utilisent des URL dépensées au captcha comme mécanisme de filtrage initial.
Ceci est suivi d’une redirection vers des pages de phishing contrôlées par l’attaquant, qui sont des clones directs de l’article authentique. Ces pages clonées intègrent des HTML pilés, des liens vers les actifs officiels du gouvernement britannique et des modifications minimales mais critiques du processus de soumission du formulaire. L’équipe Mimecast a noté que les acteurs de la menace démontrent une compréhension avancée des modèles de communication gouvernementale et des attentes des utilisateurs au sein du système d’immigration britannique.
L’objectif de cette attaque de phishing semble être double, ciblant les deux organisations parrainant légitimement les immigrants au Royaume-Uni et aux immigrants eux-mêmes. Une fois que les références SMS des victimes principales sont compromises, les attaquants poursuivent plusieurs objectifs de monétisation différents. Le chef parmi ces objectifs semble être la vente d’accès à des comptes compromis sur les forums Web Dark pour faciliter la délivrance de faux certificats de parrainage (COS). De plus, les attaquants mènent des attaques d’extorsion directement sur les organisations elles-mêmes. Une avenue d’exploitation plus obscurcie et potentiellement plus rentable implique la création de fausses offres d’emploi et de régimes de parrainage de visa. Les personnes cherchant à déménager au Royaume-Uni auraient été fraudées pouvant atteindre 20 000 £ par ces cybercriminels pour ce qui semblait être des visas et des offres d’emploi légitimes qui ne se sont jamais concrétisés.
Mimecast a mis en œuvre des capacités de détection complètes pour ses clients qui pourraient être en danger de cette campagne de phishing. La plate-forme de sécurité des e-mails de l’entreprise est conçue pour détecter et bloquer les e-mails entrants associés à cette activité, et Mimecast continue de surveiller pour tout développement supplémentaire. Les organisations utilisant le service SMS devraient envisager de mettre en œuvre plusieurs mesures de protection. Il s’agit notamment du déploiement des capacités de sécurité des e-mails pour détecter l’identification du gouvernement et des modèles d’URL suspects, et la mise en œuvre de la réécriture de l’URL et du sable pour analyser les liens avant l’interaction des utilisateurs.
Il est également conseillé d’établir et d’appliquer l’authentification multifactorielle (MFA) sur l’accès SMS, de faire pivoter ces informations d’identification fréquemment et de surveiller les comptes SMS pour les modèles d’accès inhabituels ou les emplacements de connexion qui semblent incohérents. Les organisations devraient engager les individus avec un accès SMS sur les communications authentiques du bureau à domicile et les domaines de messagerie officiels, soulignant l’importance de vérifier les notifications urgentes avant de prendre des mesures. Cela devrait être couplé à la formation et aux simulations générales de sensibilisation au phishing. De plus, la mise en place de procédures de vérification pour les communications liées aux SMS, l’intégration du compromis SMS dans les protocoles de réponse aux incidents et la séparation des tâches SMS dans la mesure du possible peuvent aider à atténuer les scénarios en un seul point de fonctionnement. Le ministère de l’Intérieur a été contacté pour commenter cette campagne.