Biztonsági kutatók Proofpoint felfedeztek egy Omicron variáns témájú adathalász kampányt, amely észak-amerikai egyetemeket céloz meg. Az adathalász e-mailek célja az egyetemi bejelentkezési hitelesítő adatok ellopására irányulnak. Bár ennek a célja jelenleg nem ismert. Az adathalász e-mailek a Vanderbilt Egyetem, a Közép-Missouri Egyetem és más észak-amerikai egyetemek hallgatóit célozzák meg.
Természetesen nem ez az első alkalom, hogy a rosszindulatú szereplők saját előnyükre használják fel az emberek szorongását a folyamatban lévő világjárvány miatt. A múltban számos kampány volt. Amint a világjárvány elkezdődött, a koronavírus-témájú rosszindulatú kampányok megkezdődtek. A kampányok általában a helyzettől függően változnak. Amikor a vakcinák elérhetővé váltak, a rosszindulatú e-mail kampányok arra kérték az embereket, hogy regisztráljanak a lövéseikre. És most, hogy az új Omicron változat terjed, a rosszindulatú szereplők a kampányaikat megemlítették Omicron .
Ez az adathalász e-mail kampány vagy arra kéri a tanulókat, hogy kattintsanak egy linkre, vagy nyissanak meg egy mellékletet. A Proofpoint szerint ezeknek az e-mail kampányoknak a tárgyai általában a “Szükséges figyelem – információk a COVID-19 változattal kapcsolatban Omicron – november 29″. Míg a legtöbb COVID-19 témájú adathalász kampányt olyan e-mail címekről küldik, amelyek pusztán a törvényesekhez hasonlítanak, a Proofpoint azt mondta, hogy a rosszindulatú szereplők legitim, veszélyeztetett egyetemi fiókokat is használnak.
Míg sok üzenetet hamis feladókon keresztül küldenek, a Proofpoint megfigyelte, hogy a fenyegetés szereplői legitim, kompromittált egyetemi fiókokat használnak a COVID-19 témájú fenyegetések küldésére. Valószínű, hogy a fenyegetés szereplői ellopják az egyetemek hitelesítő adatait, és feltört postaládákat használnak, hogy ugyanazokat a fenyegetéseket küldjék más egyetemeknek” – mondta Proofpoint.
Ha a felhasználók rákattintanak a hivatkozásokra, akkor azokat olyan webhelyekre viszik, amelyek nagyon hasonlítanak a törvényes egyetemi bejelentkezési oldalakra, vagy az általános Office 365-ös oldalakra. A hamis egyetemi oldalak szinte azonosnak tűnhetnek a legitimekkel, ami azt jelzi, hogy legalább némi erőfeszítést tettek ezekbe az adathalász kampányokba. Ez elég lehet ahhoz, hogy becsapja a kevésbé figyelmes felhasználókat. Azok azonban, akik figyelmet fordítanak a részletekre, vagy jobban ismerik az adathalász kísérleteket, észre kell venniük, hogy annak a webhelynek az URL-je, amelyhez vezetnek, nem egyezik az egyetem URL-jével. A webhely címe általában a legnagyobb ajándék az adathalász kampányok tekintetében.
Annak megakadályozása érdekében, hogy a felhasználók felismerjék, mi történik, amint a felhasználók beírják bejelentkezési hitelesítő adataikat, és megnyomják a “Bejelentkezés” gombot, átirányítják őket egyetemük legitim webhelyére. Mivel a többszöri bejelentkezés valójában időről időre megtörténik, sok felhasználó nem gondolja meg kétszer, hogy újra be kell írnia bejelentkezési hitelesítő adatait. De amint a hitelesítő adatokat beírják az adathalász webhelyre, azonnal átkerülnek az adathalász kampányt üzemeltető számítógépes bűnözőkhöz. Proofpoint megjegyezte, hogy ez a kampány nem tulajdonítható semmilyen ismert számítógépes bűnözési csoportnak. A kampány célja jelenleg szintén nem ismert. A Proofpoint úgy véli, hogy ezek a kampányok száma a következő hónapokban növekedni fog.
“Valószínű, hogy ez a tevékenység növekedni fog a következő két hónapban, mivel a főiskolák és egyetemek tesztelést biztosítanak és igényelnek a hallgatók, oktatók és más munkavállalók számára, akik az ünnepi szezonban és azt követően utaznak az egyetemre és onnan, és ahogy a Omicron változat szélesebb körben megjelenik” – figyelmeztetett Proofpoint.