חברת אבטחת הסייבר Menlo Security מזהירה מפני מתקפת דיוג המנצלת פגיעות באתר Indeed והמכוונת למנהלים בתפקידים בכירים. Indeed הינה פלטפורמת חיפוש עבודה פופולרית ברחבי העולם, אשר טוענת שיש לה יותר מ- 350 מיליון מבקרים ייחודיים בכל חודש ויותר מ- 14,000 עובדים ברחבי העולם. בהתחשב בפופולריות הגבוהה שלה, נתפסת הפלטפורמה כמקור מהימן על ידי מוצרי סייבר למניעת דיוג, אולם המתקפה החדשה אשר זוהתה כמתקפת דיוג, מראה כיצד יכולים פושעי סייבר לנצל לרעה את האמון הזה.
לפי Menlo Security, החל מיולי 2023 נצפו פושעי סייבר מנצלים פגם הפניה פתוח באתר indeed.com כדי להוביל קורבנות לעמוד דיוג שנועד לגנוב את אישורי Microsoft שלהם (שמות משתמשים וסיסמאות). מתקפות הדיוג התמקדו בעיקר בעובדי הנהלה בכירים ובבכירים אחרים במגזרי הבנקאות והשירותים פיננסיים, ביטוח, ניהול נכסים ונדל"ן וחברות ייצור – בעיקר בארה"ב. כחלק ממתקפת הדיוג מקבל הקורבן אימייל דיוג המכיל קישור שלכאורה מעביר אותו אל indeed.com. עם זאת, בעת לחיצה על הקישור מובל הקורבן לדף התחברות מזויף של Microsoft המופעל באמצעות מסגרת ההתחזות של כלי הדיוג EvilProxy. מתבצע אחזור של כל תוכן העמוד באופן דינמי מהדומיין הלגיטימי של מיקרוסופט, כאשר ערכת הדיוג פועלת כפרוקסי הפוך ומאפשרת לפושעי הסייבר ליירט את האישורים של הקורבן לפני שהם נשלחים לדף ההתחברות בפועל. יתרה מזאת, ערכת הדיוג גונבת גם את קובצי ה- cookie של הקורבן, שבהם יכולים להשתמש פושעי הסייבר כדי להתחזות לקורבן ולגשת לחשבון Microsoft שלו, תוך עקיפת מנגנוני אימות רב-גורמי (MFA).
המתקפה, מסביר מנלו סקיוריטי, מסתמכת על העובדה שניתן להשתמש לרעה באתר indeed.com כדי להפנות מבקרים למשאב חיצוני שאינו מהימן. כחלק ממתקפת הדיוג נצפו פושעי הסייבר משתמשים בתת-הדומיין 'lmo.' ומארחים את דפי ההתחזות שלהם בשרתי nginx שיכולים לשמש כפרוקסי הפוך: "הפרוקסי ההפוך שואב את כל התוכן שניתן ליצור באופן דינמי כמו מתוך דפי ההתחברות ולאחר מכן פועל בתור 'יריב באמצע' על ידי יירוט הבקשות והתגובות בין הקורבן לאתר הלגיטימי", מסביר מנלו. "פריצת סייבר לחשבון משתמש מהווה רק את השלבים המקדימים של שרשרת התקפה העלולה להסתיים ב- Business Email Compromise, שבה ההשפעה הפוטנציאלית יכולה לנוע בין גניבת זהות, גניבת קניין רוחני והפסדים כספיים ניכרים", מציין מנלו.
חברת אבטחת הסייבר דיווחה ל- Indeed על סוגיית ההפניה הפתוחה והפעילות הזדונית שנצפתה, אך לא ברור אם אתר חיפוש העבודה טיפל בכך. דובר Indeed טרם הגיב לשאלות אתר SecurityWeek בנושא.
