Kloning Departemen Tenaga Kerja Situs Hawks Kontrak Pemerintah Palsu

Kampanye phishing baru menargetkan calon vendor pemerintah dengan undangan untuk menawar berbagai proyek federal palsu dengan Departemen Tenaga Kerja AS.

Email bermerek agar terlihat seperti komunikasi yang sah dari DoL berisi tautan jahat yang, alih-alih mengarah ke portal pengadaan pemerintah, memanen kredensial siapa pun yang mencoba masuk, menurut laporan baru dari peneliti ancaman di INKY.

“Dalam kampanye ini, sebagian besar upaya phishing membuat alamat email pengirim dipalsukan agar terlihat seolah-olah berasal dari [email protected][ .]gov, yang merupakan situs DoL yang sebenarnya,” tim INKY melaporkan dalam laporan hari Rabu. “Sebagian kecil dipalsukan agar terlihat seolah-olah berasal dari [email protected][.]com, yang tentu saja bukan domain DoL yang sebenarnya.”

Sisanya dikirim oleh phisher dari lookalikes dol-gov[.] com, dol-gov[.]us dan bids-dolgov[.]us.

Teks email iming-iming phishing mengklaim bahwa DoL meminta tawaran untuk “proyek pemerintah yang sedang berlangsung”, dan menyertakan file .PDF yang dilampirkan dengan merek pemerintah. Peneliti ancaman mengatakan upaya itu “dibuat dengan baik.”

“Klik tombol di bawah untuk mengakses situs web kami untuk menawar,” email phishing menginstruksikan. Setelah diklik, tautan membawa korban ke berbagai domain yang meniru DoL.

Salin & Tempel Spoof Situs DoL

Situs jahat tersebut adalah salinan dan tempel kode gaya situs web (baik HTML maupun CSS) dari situs Departemen Tenaga Kerja yang sebenarnya, dengan tambahan tautan merah terang yang mengarahkan korban ke pemanen kredensial yang menanyakan detail login Microsoft atau akun bisnis lainnya, laporan tersebut menambahkan.

“Ketika seorang insinyur INKY melakukan upaya pertama untuk memasukkan kredensial palsu, situs tersebut menampilkan kesalahan kredensial yang salah palsu, ”tulis para peneliti. “Tetapi di balik layar, kredensial palsu itu telah diambil (dan disimpan di situs jahat atau dikirim melalui email ke phisher).”

Mengikuti upaya lain untuk masuk dengan detail login palsu, para peneliti diarahkan ke Departemen Tenaga Kerja yang sebenarnya. situs, mereka melaporkan.

“Sentuhan bernuansa ini, dipinjam dari penipu yang jauh sebelum era digital, dirancang untuk membingungkan korban dan menunda saat mereka menyadari bahwa mereka telah diambil,” kata para peneliti.

Sebagian besar email adalah dikirim dari server yang disusupi. Tetapi beberapa umpan dikirim dari domain yang dibuat oleh penyerang untuk mengelabui pengguna agar mengira mereka berasal dari Departemen Tenaga Kerja, tambah mereka.

Untuk menghindari kompromi, INKY menyarankan tim keamanan mengingatkan pengguna akhir bahwa domain pemerintah yang sah diakhiri dengan .gov atau . mil dan bahwa departemen pengadaan federal resmi biasanya tidak mengirimkan permintaan dingin untuk tawaran.

Selain itu, pengguna mungkin dapat menggunakan pengingat bahwa tidak biasa dimintai kredensial email untuk melihat dokumen di jaringan yang tidak terkait, tim INKY merekomendasikan.

“Untuk administrator pesan, harus jelas bahwa server SMTP tidak boleh dikonfigurasi untuk menerima dan meneruskan email dari alamat IP non-lokal ke kotak surat non-lokal oleh pengguna yang tidak diautentikasi dan tidak sah,” tambah laporan itu.

Password Reset: On-Demand Acara: Perkuat 2022 dengan strategi keamanan sandi yang dibuat untuk menghadapi ancaman saat ini. Meja Bundar Keamanan Threatpost ini, dibuat untuk para profesional infosec, berpusat pada pengelolaan kredensial perusahaan, dasar-dasar sandi baru, dan mengurangi pelanggaran pasca-kredensial. Bergabunglah dengan Darren James, dengan Specops Software dan Roger Grimes, penginjil pertahanan di KnowBe4 dan pembawa acara Threatpost Becky Bracken. Daftar & streaming sesi GRATIS ini hari ini – disponsori oleh Specops Software.
Tulis komentar
Bagikan artikel ini:

  • Governmentliu
      iWeb Security