Kampanie phishingowe Office 365 w celu kradzieży poświadczeń zdalnych pracowników

Według raportu badacze bezpieczeństwa cybernetycznego odkryli kampanie phishingowe Microsoft Office 365 i wyjaśnili, że osoby atakujące za tym atakiem atakują klientów Office 365 poprzez mechanizm kampanii phishingowych wykorzystujących wiadomości przynęty zakamuflowane jako powiadomienia, które proszą klientów o aktualizację konfiguracji VPN, której używają, aby uzyskać dostęp do zasobów firmy podczas pracy w domu.

Badacze wyjaśnili, że cyberprzestępcy wysyłają wiadomości phishingowe do skrzynek pocztowych adresatów, którzy podają się za podszywających się pod żądania aktualizacji konfiguracji VPN wysłane przez dział IT ich firmy. Według raportu badacza z firmy zajmującej się ochroną poczty e-mail „Abnormal Security” raport wyłudził informacje o atakach do 15 000

Cyberprzestępcy wykorzystują te oszustwa phishingowe, ponieważ ogromny napływ pracowników pracuje zdalnie i korzysta z sieci VPN do łączenia się z zasobami firmy z domu w celu udostępniania plików lub dokumentów znajomym lub współpracownikom oraz uzyskiwania dostępu do serwera ich organizacji. W rzeczywistości adres e-mail nadawcy powinien należeć do adresu e-mail organizacji lub współpracowników pracowników w firmie. Jednak osoby atakujące fałszują adres e-mail nadawcy w wiadomościach phishingowych, aby pasowały do ​​domen organizacji docelowych.

Ponadto, osoby atakujące za kampanie phishingowe Office 365 dostarczają złośliwe wiadomości e-mail zawierające niektóre wiadomości wraz z hiperłączami przekierowującymi odbiorców do stron docelowych phishingowych, które mają na celu umożliwienie hakerom kradzieży ich danych uwierzytelniających Office 365. Rzućmy okiem na stwierdzenia nienormalnego bezpieczeństwa w tej sprawie.

„Liczne wersje tego ataku były widoczne dla różnych klientów, od różnych e-maili od nadawców i pochodzących z różnych adresów IP. Jednak wszystkie te ataki wykorzystały ten sam link do danych, co oznacza, że ​​zostały one wysłane przez jednego agresora, który kontroluje witrynę phishingową. ”

Ataki phishingowe na Office 365 mogą mieć wysoki wskaźnik skuteczności w oszukiwaniu potencjalnych ofiar, podczas gdy wielu adresatów może kliknąć takie hiperłącza i zalogować się na swoich kontach Office 365, aby uniknąć utraty zdalnego dostępu do serwerów organizacji. Aby kliknąć takie podejrzane hiperłącza, pracownicy zostaną przekierowani na klonowaną stronę logowania do Office 365, która jest hostowana w domenie Microsoft „Web.core.windows.net” o nazwie Azure Blob Storage. Ta platforma jest skierowana do użytkowników Office 365 i twierdzi, że jest to idealna podstęp, ponieważ strony docelowe automatycznie otrzymają własną kłódkę strony źródłowej z powodu „certyfikatu SSL wieloznacznego .web.core.windows.net”. I hakerzy stojący za tym oszustwem próbują oszukać najbardziej podejrzane cele, aby kliknęli na certyfikat i zobaczyli, że jest on zorganizowany przez Microsoft CA w celu automatycznego „.web.core.windows.net” automatycznie. Jednak adresy URL tej witryny nie powinny być zaufane, a użytkownicy powinni logować się tylko ze stron głównych powiązanych z firmą.

Eksperci firmy Annormal Security Company stwierdzili, że subdomeny „Azure Blob Storage” są wykorzystywane przez atakującego do wyłudzenia strony, która jest wysoce skuteczną taktyką, którą można łatwo rozwiązać, jeśli skonfigurujesz niestandardowe reguły blokowania Office 365, aby skorzystać z funkcji Bezpiecznych łączy Office 365 ATP zablokuj je automatycznie. W przypadku, gdy ten blok nie jest skonfigurowany, osoby atakujące nie próbują ukraść twoich danych uwierzytelniających podczas wprowadzania ich w formularzu logowania do Office 365, ta oficjalna strona logowania jest hostowana przez Microsoft w domenach Microsoft.com, live.com lub outlook.com.

Anormalni badacze bezpieczeństwa odkryli w zeszłym miesiącu nowy atak phishingowy jako wysoce przekonujące kampanie phishingowe Office 365, które próbują ukraść dane uwierzytelniające prawie 50 000 użytkowników przy użyciu sklonowanych zdjęć ze zautomatyzowanych powiadomień Microsoft. Jeśli masz jakieś sugestie lub pytania dotyczące tej kwestii, napisz w polu komentarza podanym poniżej.