Een geavanceerde phishing -campagne is gericht op Britse organisaties die sponsoren die migrerende werknemers en studenten sponsoren, die gebruik maken van authentieke thuiskantoorbranding om referenties in te schakelen binnen het Sponsorship Management System (SMS) van de overheid. Deze campagne, geïdentificeerd door het dreigingsonderzoeksteam van Mimecast, vormt een belangrijke bedreiging voor het Britse immigratiesysteem, wat mogelijk leidt tot uitgebreide financiële uitbuiting en gegevensdiefstal.
De SMS is een kritisch platform voor werkgevers die visa sponsoren in de categorieën van werknemer en tijdelijke werknemers, evenals voor instellingen die visa sponsoren in de categorieën studenten en kinderen. De primaire functies zijn onder meer het beheren en toewijzen van sponsorcertificaten voor potentiële werknemers of studenten en het melden van wijzigingen in omstandigheden voor gesponsorde immigranten. Het doel van de aanvallers is om ongeoorloofde toegang tot dit systeem te krijgen voor verschillende illegale financiële winst.
Volgens Samantha Clarke, Hiwot Mendahun en Ankit Gupta van Mimecast, heeft de campagne frauduleuze e -mails die zorgvuldig de officiële communicatie van het thuiskantoor voorleggen. Deze e -mails worden meestal verzonden naar algemene e -mailadressen voor organisatorische e -mailadressen, waardoor dringende waarschuwingen over nalevingskwesties of accountopschorting worden overgebracht. De berichten bevatten kwaadaardige links die ontvangers omleiden naar zeer overtuigende nep -sms -inlogpagina’s die zijn ontworpen om gebruikers -ID’s en wachtwoorden te oogsten.
De technische analyse van Mimecast onthult de geavanceerde methoden van de aanvallers, inclusief het gebruik van CAPTCHA-gated URL’s als een eerste filteringsmechanisme. Dit wordt gevolgd door omleiding tot aan aanvallers gecontroleerde phishing-pagina’s die directe klonen zijn van het echte sms-inlogportaal. Deze gekloonde pagina’s bevatten Pilfered HTML, links naar officiële Britse overheidsactiva en minimale maar cruciale wijzigingen in het formulierinzendingsproces. Het Mimecast -team merkte op: “De dreigingsactoren tonen geavanceerd begrip van communicatiepatronen van de overheid en gebruikersverwachtingen binnen het Britse immigratiesysteem.”
De doelen van deze phishing -aanval lijken tweeledig te zijn en gericht op beide organisaties die legitiem immigranten sponsoren naar het VK en de immigranten zelf. Zodra de aanvallers SMS -referenties in gevaar brengen, streven ze naar meerdere doelstellingen voor het genereren van inkomsten. Een primaire doelstelling is de verkoop van toegang tot gecompromitteerde accounts op donkere webforums om de uitgifte van nepcertificaten van sponsoring (COS) te vergemakkelijken. Ze willen ook afpersingsaanvallen rechtstreeks op de gecompromitteerde organisaties uitvoeren.
Een meer verraderlijke en potentieel lucratieve weg van uitbuiting omvat het creëren van nepaanbiedingen en visumsponsorschema’s. Computer Weekly begrijpt dat sommige stroomafwaartse slachtoffers, personen die naar het VK willen verhuizen, zijn bedrogen van belangrijke bedragen, met rapporten die wijzen op verliezen tot £ 20.000 voor schijnbaar legitieme visa en vacatures die nooit zijn uitgekomen.
In antwoord op deze campagne heeft Mimecast al uitgebreide detectiemogelijkheden geïmplementeerd binnen haar e -mailbeveiligingsplatform om inkomende e -mails te identificeren en te blokkeren. Het bedrijf blijft volgen op nieuwe ontwikkelingen met betrekking tot deze bedreigingen.
Voor organisaties die de SMS -service gebruiken, beveelt Mimecast verschillende cruciale stappen aan om hun beveiligingshouding te verbeteren:
- E -mailbeveiligingsmogelijkheden implementeren: Implementeer oplossingen die de nabootsing van de overheid en verdachte URL -patronen kunnen detecteren. Dit omvat het herschrijven van URL en sandboxen om links te analyseren vóór gebruikersinteractie.
- Multifactor Authentication (MFA) afdwingen: MFA instellen en afdwingen voor SMS -toegang. Organisaties moeten deze inloggegevens ook regelmatig roteren en sms -rekening houden met ongebruikelijke toegangspatronen of inloglocaties.
- Zorg voor uitgebreide training: Leer personeel met sms -toegang op echte thuiskantoorcommunicatie en officiële e -maildomeinen. Benadruk het belang van het verifiëren van dringende meldingen voordat u actie onderneemt. Dit moet worden gekoppeld aan algemene training en simulaties van phishing-bewustzijn.
- Verificatieprocedures implementeren: Stel robuuste verificatieprocedures in voor alle sms-gerelateerde communicatie. Neem SMS-compromis op in bestaande incidentresponsprotocollen en scheiden waar mogelijk SMS-taken om scenario’s met één punt-of-failure te voorkomen.
Source: MIMECAST Identificeert Home Office SMS Phishing -campagne
