Besøgende på flere velkendte websites blev for nylig udsat for en uventet trussel, da falske Microsoft-loginvinduer begyndte at dukke op på sider tilknyttet betroede brands. Sikkerhedsforskere sporede aktiviteten til en Polyfill-relateret kompromittering, som gjorde det muligt for angribere at indsætte phishingindhold på legitime websites, herunder sider forbundet med Toshiba og Muji.
Hændelsen viser, hvordan cyberkriminelle fortsætter med at udnytte betroet internetinfrastruktur til at stjæle loginoplysninger. I stedet for at oprette falske websites fra bunden placerede angriberne ondsindede loginvinduer direkte på websites, som brugerne allerede kendte og stolede på.
Betroede websites blev brugt som distributionsplatforme
Forskerne opdagede, at de berørte websites viste Microsoft-loginvinduer, der virkede overbevisende nok til at narre intetanende besøgende. Vinduerne hævdede, at brugerne skulle logge ind, før de kunne fortsætte, hvilket skabte indtrykket af, at anmodningen kom fra en legitim tjeneste.
Da loginformularerne blev vist på ægte websites, havde mange besøgende færre grunde til at mistænke ondsindet aktivitet. Denne metode giver angriberne en betydelig fordel sammenlignet med traditionelle phishingkampagner, der er afhængige af mistænkelige domæner eller dårligt designede kopisider.
Teknikken forvandler effektivt betroede websites til midlertidige phishingplatforme uden, at angriberne behøver at oprette deres egen online tilstedeværelse.
Angrebet forbindes til Polyfill-infrastruktur
Efterforskere knyttede aktiviteten til Polyfill-relateret infrastruktur, som har været genstand for sikkerhedsbekymringer i de seneste år. Polyfill-tjenester blev oprindeligt udviklet for at hjælpe websites med at understøtte ældre browsere ved at levere ekstra JavaScript-funktionalitet efter behov.
Når websites indlæser kode fra eksterne tjenester, overtager de dog også de risici, der følger med disse leverandører. Hvis angribere får kontrol over den eksterne ressource, kan de potentielt distribuere skadelig kode til alle websites, der er afhængige af den.
Det ser ud til at være sket i dette tilfælde. I stedet for at kompromittere individuelle websites ét ad gangen udnyttede angriberne en fælles ressource til at nå flere betroede domæner samtidig.
Microsoft-konti var hovedmålet
De falske loginvinduer fokuserede på at indsamle Microsoft-kontooplysninger. Disse konti giver ofte adgang til e-mail, cloudlagring, samarbejdsværktøjer og forretningsapplikationer, hvilket gør dem særligt værdifulde for cyberkriminelle.
En vellykket kompromittering kan åbne døren for yderligere angreb. Kriminelle bruger ofte stjålne konti til at gennemføre phishingkampagner, få adgang til følsomme dokumenter, bevæge sig videre gennem virksomhedsnetværk eller begå økonomisk svindel.
Kampagnen understreger, hvorfor tyveri af loginoplysninger fortsat er et af de mest almindelige mål inden for moderne cyberkriminalitet. Adgang til en legitim konto kan ofte være mere værdifuld end malware i sig selv.
Leverandørkædeangreb fortsætter med at vokse
Hændelsen afspejler en bredere tendens, der påvirker organisationer verden over. Cyberkriminelle retter i stigende grad deres angreb mod tredjepartstjenester, softwarekomponenter og delt infrastruktur, fordi én enkelt kompromittering kan få langt større konsekvenser.
Moderne websites er ofte afhængige af mange eksterne ressourcer, herunder analyseværktøjer, annoncenetværk, indholdsleveringssystemer og JavaScript-biblioteker. Hver ekstra afhængighed skaber et nyt potentielt indgangspunkt for angribere.
Efterhånden som organisationer udvider deres digitale økosystemer, er overvågning af tredjepartskomponenter blevet lige så vigtig som sikringen af interne systemer.
Konklusion
Polyfill-phishingangrebet viser, hvor hurtigt betroede websites kan blive redskaber til tyveri af loginoplysninger, når eksterne tjenester kompromitteres. Ved at vise falske Microsoft-loginvinduer på legitime domæner øgede angriberne sandsynligheden for, at besøgende ville afgive følsomme oplysninger. Hændelsen er endnu en påmindelse om, at leverandørkædeangreb fortsat er blandt de mest effektive metoder i cyberkriminelles værktøjskasse, og at organisationer nøje bør vurdere alle tredjepartstjenester, der er forbundet med deres websites.
0 svar til “Polyfill-phishingangreb indsætter falske loginformularer på betroede websites”