Аккаунты электронной почты NHS взломаны для фишинговой кампании

Аккаунты электронной почты NHS взломаны для фишинговой кампании


Более 130 учетных записей электронной почты NHS были захвачены для фишинговых атак, нацеленных на пользователей Microsoft, хотя истинный масштаб атаки неизвестен.

Во время фишинговой кампании, которая началась в октябре 2021 года и резко возросла в марте 2022 года, облачная платформа безопасности Inky обнаружила 1157 фишинговых писем, исходящих от NHSMail, которые в феврале 2021 года были перенесены из внутренней установки в Microsoft Exchange Online.

Все фишинговые электронные письма были отправлены по электронной почте на nhs.net и отправлены с двух IP-адресов, используемых NHS, подтверждая, что эти два адреса были ретрансляторами в почтовой системе, используемой для большого количества учетных записей.

Большинство электронных писем были поддельными сообщениями о новых документах с вредоносными ссылками на сайты поиска учетных данных, которые специально запрашивали информацию у пользователей Microsoft 365.

Инк отметил, что хотя фишинговое электронное письмо исходило от электронных писем, принадлежащих 139 сотрудникам NHS, истинный масштаб атаки мог быть намного больше, поскольку аналитики его данных зафиксировали только попытки фишинга его собственных клиентов.

Он добавил, что, несмотря на 139 скомпрометированных учетных записей, представляющих собой «всего несколько десятков тысяч» учетных записей, nhs.net обслуживает десятки миллионов отдельных пользователей электронной почты и предоставляет инфраструктуру примерно для 27 000 организаций, то есть для такого небольшого числа. По-прежнему ожидается, что каждый день будет создаваться несколько вновь взломанных учетных записей.

«Возможно, сейчас самое время представить идею о том, что рыба может выглядеть как течь в лодке. «Неважно, что дыра маленькая, в конце концов она все равно потопит лодку», — говорится в сообщении в блоге.

«Даже если несколько плохих электронных писем подверглись достаточно опасной нагрузке, одна успешная атака может изменить жизнь. До сих пор NHS везло. Урожай самого сертификата — небольшая картофелина. Но, конечно же, эти учетные данные могут быть переработаны в дальнейших атаках с более опасными последствиями».

Инки сообщил о своих первоначальных выводах в NHS 13 апреля, которая немедленно приняла меры, что привело к значительному сокращению количества атак на следующий день. К 19 апреля Инки сказал, что практически перестал получать сообщения о фишинге из домена NHS.

Между Inky и NHS было установлено, что взлом произошел не из-за скомпрометированного почтового сервера, а из-за взлома отдельных учетных записей.

«У нас есть процессы для постоянного мониторинга и выявления этих рисков. Мы обращаемся к ним в партнерстве с нашими партнерами, которые поддерживают и предоставляют национальные услуги NHSmail», — заявили в NHS в ответ на выводы Inca.

«Организации NHS, использующие свои собственные системы электронной почты, будут иметь аналогичные процессы и средства защиты для идентификации и координации своих ответов и при необходимости будут вызывать цифровую помощь NHS».

Помимо получения учетных данных и захвата учетных записей, злоумышленники также использовали логотипы и товарные знаки, чтобы представить известные бренды (включая Microsoft и Adobe), чтобы электронная почта выглядела легитимной. Все электронные письма также имели сноску в нижней части электронного письма NHS.

Что касается смягчения последствий, Инки сказал, что пользователи всегда должны тщательно проверять адрес электронной почты отправителя, а также проверять любые ссылки для перенаправления.

«В большинстве электронных писем в рамках этой кампании говорилось, что они были отправлены Adobe или Microsoft, но nhs[.]net не является доменом Adobe или Microsoft. «Ссылки в них также не принадлежали этим организациям», — говорится в сообщении.

«Получатели также должны опасаться нежелательных уведомлений о новых документах и ​​отказываться отвечать или нажимать на любую ссылку в электронной почте от отправителя, который никогда раньше не контактировал».

NHS Digital возобновила кампанию по повышению осведомленности о кибербезопасности в октябре 2021 года, чтобы помочь специалистам в области здравоохранения узнать больше о текущих угрозах безопасности, а также о том, как снизить общий риск компрометации.

Онлайн-инструментарий можно загрузить бесплатно, чтобы помочь организациям сектора здравоохранения узнать больше о влиянии «здравого смысла» на безопасность пациентов. Он включает в себя инструкции по установке безопасных паролей, блокировке устройств, когда они не используются, а также по обнаружению и предотвращению фишинга, мошенничества с электронной почтой и атак социальной инженерии, среди прочего.

За последние несколько лет различные запросы, сделанные третьей стороной в соответствии с Законом о свободе информации, показали, что NHS наблюдает сокращение количества фишинговых электронных писем, которые она получает, меньше инцидентов с требованием выкупа и повышение уровня персонала службы безопасности. К концу 2020 года в нем работало вдвое больше специалистов по внутренней безопасности, чем в 2018 году.

Facebook Comments

Share this post

კომენტარის დატოვება

თქვენი ელფოსტის მისამართი გამოქვეყნებული არ იყო.


has been added to your cart.
გადახდა