Национални центар сајбер безбедност Велике Британије (НЦСЦ) извештава о редовним сајбер нападима које спроводе хакери из Русије и Ирана.
Према извештају стручњака, хакерске групе СЕАБОРГИУМ (ака Цаллисто Гроуп/ТА446/ЦОЛДРИВЕР/ТАГ-53) и ТА453 (ака АПТ42/Цхарминг Киттен/Иеллов Гаруда/ИТГ18) користе циљане пхисхинг технике за напад на институције и приватна лица у сврху прикупљање информација.
Иако ове две групе нису у дослуху, некако се дешава да су одвојене једна од друге напад исте врсте организација, које су прошле године укључивале државне органе, невладине организације, организације у сектору одбране и образовања, као и појединце попут политичара, новинара и активиста.
Циљана пхисхинг је, да тако кажем, софистицирана техника пхисхинг, када нападач циља одређену особу и претвара се да има информације од посебног интереса за њихову жртву. У случају СЕАБОРГИУМ-а и ТА453, они се уверавају у то тако што истражују бесплатно доступне ресурсе како би сазнали о својој мети.
Обе групе су креирале лажне профиле на друштвеним мрежама и претварале се да су познаници жртава или стручњаци у својој области и новинари. Обично у почетку постоји безопасан контакт док СЕАБОРГИУМ и ТА453 покушавају да изграде однос са својом жртвом како би стекли њено поверење. Стручњаци напомињу да ово може трајати дуго времена. Хакери затим шаљу злонамерну везу, уграђују је у е-пошту или у заједнички документ Microsoft Један диск или Гоогле диск.
У центру сајбер безбедност је известио да је „у једном случају [ТА453] чак организовао Зоом позив да подели злонамерни УРЛ у ћаскању током позива“. Такође је пријављено коришћење више лажних идентитета у једном пхисхинг нападу ради повећања уверљивости.
Праћење линкова обично води жртву на лажну страницу за пријаву коју контролишу нападачи, а након уношења њихових акредитива она бивају хакована. Хакери затим приступају сандучићима е-поште својих жртава како би украли е-пошту, прилоге и преусмерили долазну е-пошту на њихове налоге. Поред тога, користе сачуване контакте у компромитованој е-пошти да пронађу нове жртве у наредним нападима и започну процес изнова.
Хакери из обе групе користе налоге уобичајених провајдера е-поште да креирају лажне ИД-ове када први пут ступе у интеракцију са метом. Такође су креирали лажне домене за наизглед легитимне организације. Компанија из сајбер безбедност Проофпоинт, који прати иранску ТА2020 групу од 453. године, у великој мери одражава налазе НЦСЦ-а: „Кампање [ТА453] могу почети недељама пријатељских разговора са налозима које су креирали хакери пре него што покушају да хакују. Такође су приметили да су друге мете групе укључивале медицинске истраживаче, ваздухопловне инжењере, агенте за некретнине и туристичке агенције.
Поред тога, фирма је издала следеће упозорење: „Истраживачи који раде на питањима међународне безбедности, посебно они који су специјализовани за студије Блиског истока или нуклеарне безбедности, требало би да буду опрезнији када примају нежељене е-поруке. На пример, стручњаци које контактирају новинари треба да провере веб локацију публикације како би се уверили да адреса е-поште припада легитимном новинару."
Такође занимљиво: