Hackare poserar som Wall Street Journal Reporter för Phish-offer

Iranska hackare kan ha låtsats vara en framstående reporter för att lura offren att lämna över sina lösenord, enligt säkerhetsforskare.

I november skickade hackare ut e-postmeddelanden om intervjuförfrågningar som verkade komma från Farnaz Fassihi, tidigare av Wall Street Journal och nu på New York Times.

Emellertid var e-postmeddelandena faktiskt utformade för att fiska inloggningsuppgifterna för offrenes e-postkonton, enligt Certfa Lab, som fokuserar på iransk hackaktiviteter.

"I det första steget i den falska intervjun skickades e-post från farnaz.fassihi [at] gmail [dot] com för att vinna offrets förtroende, "sade Certfa Lab i rapporten på onsdagen." Efter att kommunikation och relativt förtroende har upprättats via det första e-postmeddelandet skickar hackare sitt offer en exklusiv länk som en fil som innehåller intervjufrågorna.

"

Klicka på den exklusiva länken för att ladda upp en falsk Wall Street Journal på Google Sites.

En "nedladdningsknapp" på sidan kommer då att visa en andra sida vid domänens tvåstegskontroll[.]webbplats, "som har utformats för att se ut som Googles officiella inloggningssida.

Inloggningsfönstret är dock falskt och utformat för att registrera offrens lösenord och tvåfaktorautentiseringskoder för deras Google-konto, som skickas till hackarna enligt till Certfa Lab.

Omnämnande av Tidning höjde sannolikt några flaggor eftersom en snabb Google-sökning skulle avslöja det Fassihi har varit med Tider sedan juni 2019.

Men som den iranskfödda tyska akademikern Erfan Kasraie, som fick e-postmeddelandet, berättar för Reuters, tyckte han också att det var konstigt eftersom det skrevs mer som ett fanbrev.

"Det behöver inte sägas att denna intervju är en stor ära för mig personligen", säger det falska e-postmeddelandet vid ett tillfälle.

På Twitter, att schemat är ett exempel på "thot som vi journalister möter för att göra våra jobb.

"

Certfa Labs misstänker att en ökänd iransk hackgrupp med namnet "Charmig kattunge" stod bakom nätfiskeattacken.

Det pekar på hur "tvåstegskontroll[.]site "har konfigurerats; domänen kördes från två servrar som tidigare har använts för att driva andra nätfiskewebbplatser kopplade till den iranska hackingsgruppen.

Certfa Labs varnar för att de misstänkta iranska hackarna också har använt intervjuförfrågningar på CNN och den tyska sändaren Deutsche Welle för att byta ut andra mål.

"Huvudfokus för denna nätfiskekampanj var att stjäla offertens e-postkontoinformation och hitta information om deras kontakter / nätverk", tillade expertteamet.

För att undvika phishing, leta upp avsändarnas kontaktinformation på deras officiella webbplatser och ring dem eller kontakta dem med ett nytt meddelande, snarare än att svara direkt på det ursprungliga e-postmeddelandet.

Iranska hackare kan ha låtsats vara en framstående reporter för att lura offren att lämna över sina lösenord, enligt säkerhetsforskare.

I november skickade hackare ut e-postmeddelanden om intervjuförfrågningar som verkade komma från Farnaz Fassihi, tidigare av Wall Street Journal och nu på New York Times.

Emellertid var e-postmeddelandena faktiskt utformade för att fiska inloggningsuppgifterna för offrenes e-postkonton, enligt Certfa Lab, som fokuserar på iransk hackaktiviteter.

"I det första steget i den falska intervjun skickades e-post från farnaz.fassihi [at] gmail [dot] com för att vinna offrets förtroende, "sade Certfa Lab i rapporten på onsdagen." Efter att kommunikation och relativt förtroende har upprättats via det första e-postmeddelandet skickar hackare sitt offer en exklusiv länk som en fil som innehåller intervjufrågorna.

"

Klicka på den exklusiva länken för att ladda upp en falsk Wall Street Journal på Google Sites.

En "nedladdningsknapp" på sidan kommer då att visa en andra sida vid domänens tvåstegskontroll[.]webbplats, "som har utformats för att se ut som Googles officiella inloggningssida.

Inloggningsfönstret är dock falskt och utformat för att registrera offrens lösenord och tvåfaktorautentiseringskoder för deras Google-konto, som skickas till hackarna enligt till Certfa Lab.

Omnämnande av Tidning höjde sannolikt några flaggor eftersom en snabb Google-sökning skulle avslöja det Fassihi har varit med Tider sedan juni 2019.

Men som den iranskfödda tyska akademikern Erfan Kasraie, som fick e-postmeddelandet, berättar för Reuters, tyckte han också att det var konstigt eftersom det skrevs mer som ett fanbrev.

"Det behöver inte sägas att denna intervju är en stor ära för mig personligen", säger det falska e-postmeddelandet vid ett tillfälle.

På Twitter, att schemat är ett exempel på "thot som vi journalister möter för att göra våra jobb.

"

Certfa Labs misstänker att en ökänd iransk hackgrupp med namnet "Charmig kattunge" stod bakom nätfiskeattacken.

Det pekar på hur "tvåstegskontroll[.]site "har konfigurerats; domänen kördes från två servrar som tidigare har använts för att driva andra nätfiskewebbplatser kopplade till den iranska hackingsgruppen.

Certfa Labs varnar för att de misstänkta iranska hackarna också har använt intervjuförfrågningar på CNN och den tyska sändaren Deutsche Welle för att byta ut andra mål.

"Huvudfokus för denna nätfiskekampanj var att stjäla offertens e-postkontoinformation och hitta information om deras kontakter / nätverk", tillade expertteamet.

För att undvika phishing, leta upp avsändarnas kontaktinformation på deras officiella webbplatser och ring dem eller kontakta dem med ett nytt meddelande, snarare än att svara direkt på det ursprungliga e-postmeddelandet.