さまざまなフィッシング攻撃で、サイバー犯罪者は米国の大学を標的にして、重要なOffice365の資格情報を盗みました。これらのソーシャルエンジニアリング攻撃は、標的をだまして詐欺に仕掛けるために、大学のログインページを模倣するように作成されています。
この詐欺キャンペーンでは、攻撃者はCOVID-19パンデミックとそのデルタおよびオミクロンの亜種、および教育プログラムが最新のウイルスの亜種によってどのように攻撃されたかに関する複数のテーマを利用しました。
サイバー詐欺師は2021年10月に最初に暴行を行い、キャンペーンで適用した方法とプロセスの詳細も互いに共有しました。
このフィッシングキャンペーンでは、詐欺師は最初に、COVID-19テスト結果、新しいOmicronバリアント、追加要件テスト、またはクラス変更に関連する情報を偽装して、ターゲットユーザーに電子メールを送信しました。
受信者は、添付ファイル(HTMLファイル)をクリックすることをお勧めします。その場合、大学の公式ページと同じログインサイトにリダイレクトされます。
不正なログインページは非常に魅力的であり、使用されているURLでさえトップレベルドメインである.eduを含んでいます。
プルーフポイントは、ウェストバージニア大学、ウィスコンシン大学オシュコシュ校、セントラルミズーリ大学、アーカンソー州立大学、パーデュ、オーバーン、ヴァンダービルトなど、これらの攻撃の標的となった大学のいくつかを共有しました。
詐欺師は、学生や教職員に送信された1回限りのパスコードを盗むために使用されるDUOMFAページを偽装するランディングポータルも設計しました。これは、対象となる大学のログインページでのMFA(多要素認証)保護を回避するために行われます。
ターゲットユーザーがフィッシングサイトでクレデンシャルを入力するとすぐに、ページは、SMSを介して取得したコードを電話で入力するように要求します。コードが取得されると、犯罪者はそれを直接使用してアカウントを引き継ぐことができます。
詐欺師は、アカウントのOneDriveフォルダーとSharePointフォルダーに保存されている機密データにアクセスして盗み出すことができます。これらのフィッシング攻撃は、大学に損害を与えるBECインシデントや非常に危険なランサムウェア感染を引き起こす可能性があります。