Campagne di phishing di Office 365 per rubare le credenziali dei lavoratori remoti

Secondo il rapporto, i ricercatori della sicurezza informatica hanno scoperto le campagne di phishing di Microsoft Office 365 e hanno spiegato che gli aggressori dietro questo attacco prendono di mira i clienti di Office 365 tramite il meccanismo di campagne di phishing utilizzando messaggi esca mimetizzati come notifiche che chiedono ai clienti di aggiornare la configurazione VPN che utilizzano per accedere alle risorse aziendali mentre lavori da casa.

I ricercatori hanno spiegato che i criminali informatici inviano e-mail di phishing su cassette postali di destinatari mirati che impersonano le richieste di aggiornamento della configurazione VPN inviate dal supporto IT della loro azienda. Il rapporto afferma che questo phishing ha preso di mira fino a 15.000 secondo un ricercatore della compagnia di sicurezza e-mail “Anormal Security”

I criminali informatici utilizzano queste truffe di phishing a causa dell’enorme afflusso di dipendenti che lavorano in remoto e utilizzano VPN per connettersi alle risorse aziendali da casa loro per condividere file o documenti con i loro amici o colleghi e accedere al server delle organizzazioni. In realtà, l’indirizzo email del mittente dovrebbe appartenere all’indirizzo email dell’organizzazione o ai colleghi dei dipendenti dell’azienda. Ma gli aggressori stanno falsificando l’indirizzo e-mail del mittente nelle e-mail di phishing per abbinare i domini delle loro organizzazioni di destinazione.

Inoltre, gli aggressori dietro le campagne di phishing di Office 365 forniscono e-mail dannose che contengono alcuni messaggi insieme a collegamenti ipertestuali che reindirizzano i destinatari a siti Web di atterraggio di phishing, progettato per consentire agli hacker di rubare le proprie credenziali di Office 365. Diamo un’occhiata alle dichiarazioni di Anormal Security su questo argomento.

“Numerose versioni di questo attacco sono state visualizzate su client diversi, da email di mittenti diverse e provenienti da indirizzi IP diversi. Tuttavia, lo stesso link di payload è stato utilizzato da tutti questi attacchi, il che implica che questi sono stati inviati da un singolo utente malintenzionato che controlla il sito Web di phishing. “

Gli attacchi di phishing di Office 365 potrebbero avere un alto tasso di successo nell’ingannare potenziali vittime mentre molti destinatari potrebbero fare clic su tali collegamenti ipertestuali e accedere ai propri account di Office 365 per evitare di perdere l’accesso remoto ai server delle organizzazioni. Per fare clic su tali collegamenti ipertestuali sospetti, i dipendenti verranno reindirizzati sulla pagina di accesso al clone di Office 365 ospitata sul dominio di proprietà Microsoft “Web.core.windows.net” con il nome di Archiviazione BLOB di Azure. Questa piattaforma si rivolge agli utenti di Office 365 e afferma che è uno stratagemma perfetto visto che le pagine di destinazione otterranno automaticamente il proprio lucchetto della pagina di origine a causa del “certificato SSL jolly di .web.core.windows.net”. E gli hacker dietro questa truffa tentano di indurre gli obiettivi più sospetti a fare clic sul certificato e vedere che è organizzato da Microsoft CA in “.web.core.windows.net” automaticamente. Tuttavia, gli URL di questo sito non devono essere considerati attendibili e gli utenti devono effettuare l’accesso esclusivamente dalle loro pagine Web affiliate alla società principale.

Gli esperti di Anormal Security Company hanno affermato che i sottodomini “Archiviazione BLOB di Azure” vengono utilizzati dall’attaccante per phishing della pagina che è una tattica altamente efficace che può essere facilmente affrontata se si impostano regole di blocco personalizzate di Office 365 per sfruttare le funzionalità dei collegamenti sicuri ATP di Office 365 per bloccali automaticamente. Nel caso in cui questo blocco non sia configurato, gli aggressori non stanno cercando di rubare le tue credenziali mentre le inseriscono nel modulo di accesso di Office 365 in cui la pagina di accesso ufficiale è ospitata da Microsoft su domini Microsoft.com, live.com o outlook.com.

I ricercatori di Sicurezza Anormale hanno scoperto il nuovo attacco di phishing del mese scorso come campagne di phishing di Office 365 altamente convincenti che tentano di rubare credenziali da quasi 50.000 utenti utilizzando immagini clonate da notifiche automatizzate di Microsoft. Se hai suggerimenti o domande in merito, ti preghiamo di scrivere nella casella di commento fornita di seguito.