リモートワーカーの資格情報を盗むOffice 365フィッシングキャンペーン

報告によると、サイバーセキュリティの研究者はMicrosoft Office 365フィッシング詐欺キャンペーンを発見し、この攻撃の背後にいる攻撃者は、会社の資産にアクセスするために使用するVPN構成を更新するように顧客に要求する通知として偽装された餌メッセージを使用して、フィッシングキャンペーンメカニズムによってOffice 365顧客を標的にしていることを説明しました在宅勤務中。

研究者は、サイバー犯罪者は、会社のITサポートから送信されたVPN構成更新要求を偽装して、標的となる受信者のメールボックスにフィッシングメールを送信すると説明しました。電子メールセキュリティ会社「異常なセキュリティ」の研究者によると、このフィッシングは最大15,000を狙ったと報告されています

サイバー詐欺師はこれらのフィッシング詐欺を使用します。従業員の大量流入がリモートで作業し、VPNを使用して自宅から会社のリソースに接続し、ファイルやドキュメントを友人や同僚と共有したり、組織のサーバーにアクセスしたりするためです。実際、送信者のメールアドレスは、組織のメールアドレスまたは会社の従業員の同僚に属している必要があります。しかし、攻撃者は、標的とする組織のドメインと一致するように、フィッシングメールの送信者のメールアドレスを偽装しています。

さらに報告すると、Office 365フィッシングキャンペーンの背後にいる攻撃者は、ハッカーがOffice 365の資格情報を盗むことを可能にするように設計されたフィッシングランディングWebサイトに受信者をリダイレクトするハイパーリンクとともにいくつかのメッセージを含む悪意のある電子メールを配信します。この問題に関する異常なセキュリティのステートメントを見てみましょう。

「この攻撃の多数のバージョンが、さまざまな送信者の電子メールから、さまざまなIPアドレスから発信されて、さまざまなクライアントにわたって見られました。ただし、これらすべての攻撃で同じペイロードリンクが使用されていたため、フィッシングWebサイトを制御する単一の攻撃者がこれらのリンクを送信したことがわかります。」

Office 365フィッシング攻撃は、潜在的な被害者をだますのに成功する可能性が高い一方で、多くの受信者はそのようなハイパーリンクをクリックしてOffice 365アカウントにログインし、組織のサーバーへのリモートアクセスが失われないようにします。このような不審なハイパーリンクをクリックするために、従業員は、Azure Blob Storageという名前のMicrosoft所有ドメイン「Web.core.windows.net」でホストされているOffice 365ログインページにリダイレクトされます。このプラットフォームはOffice 365ユーザーを対象としており、ランディングページが「.web.core.windows.netワイルドカードSSL証明書」のために独自のソースページの南京錠を自動的に取得することは完璧な策略だと主張しています。そして、この詐欺の背後にあるハッカーは、最も疑わしいターゲットをだまして証明書をクリックさせ、それがMicrosoft CAによって「.web.core.windows.net」に自動的に編成されていることを確認します。ただし、このサイトのURLは信頼すべきではなく、ユーザーは主要な会社の関連Webページからのみログインする必要があります。

アブノーマルセキュリティカンパニーの専門家によると、「Azure Blob Storage」サブドメインはページをフィッシングするために攻撃者によって使用され、Office 365 ATPセーフリンク機能を利用するカスタムOffice 365ブロックルールを設定すると簡単に対処できる非常に効果的な戦術ですそれらを自動的にブロックします。このブロックが構成されていない場合、攻撃者はOffice 365のログインフォームに資格情報を入力するときに資格情報を盗もうとしません。Microsoft.com、live.com、またはoutlook.comドメインでMicrosoftが公式のログインページをホストしています。

Abnormal Securityの研究者らは、先月、自動Microsoft通知から複製された画像を使用して約50,000人のユーザーから認証情報を盗もうとするOffice 365フィッシングキャンペーンを有罪とする新しいフィッシング攻撃を発見しました。この件に関してご意見やご質問がございましたら、下記のコメント欄にご記入ください。