Campanhas de phishing do Office 365 para roubar credenciais de funcionários remotos

De acordo com o relatório, os pesquisadores de segurança cibernética descobriram campanhas de fraude de phishing do Microsoft Office 365 e explicaram que os atacantes por trás desse ataque têm como alvo os clientes do Office 365 pelo mecanismo de campanhas de phishing usando mensagens de isca camufladas como notificações que solicitam aos clientes que atualizem a configuração da VPN que usam para acessar os ativos da empresa enquanto trabalha em casa.

Os pesquisadores explicaram que os cibercriminosos enviam e-mails de phishing em caixas de correio de destinatários direcionados que se passam por solicitações de atualização de configuração da VPN enviadas pelo suporte de TI da empresa. O relatório diz que este phishing atingiu até 15.000, de acordo com o pesquisador da empresa de segurança de e-mail “Segurança anormal”

Os criminosos cibernéticos usam esses golpes de phishing devido ao grande afluxo de funcionários trabalhando remotamente e usando VPNs para conectar-se aos recursos da empresa em casa, compartilhando arquivos ou documentos com seus amigos ou colegas e acessando o servidor de suas organizações. Na verdade, o endereço de email do remetente deve pertencer ao endereço de email da organização ou aos colegas de funcionários da empresa. Mas os invasores estão falsificando o endereço de email do remetente em emails de phishing para corresponder aos domínios de suas organizações-alvo.

Relatório adicional, os atacantes por trás das campanhas de phishing do Office 365 entregam emails mal-intencionados que contêm algumas mensagens, além de hiperlinks que redirecionam os destinatários para sites de desembarque de phishing, projetados para permitir que os hackers roubem suas credenciais do Office 365. Vamos dar uma olhada nas declarações de segurança anormal sobre esse assunto.

“Várias versões deste ataque foram vistas em diferentes clientes, desde diferentes emails de remetentes e originários de diferentes endereços IP. No entanto, o mesmo link de carga útil foi empregado por todos esses ataques, o que implica que eles foram enviados por um único invasor que controla o site de phishing. ”

Os ataques de phishing do Office 365 podem ter uma alta taxa de sucesso ao enganar vítimas em potencial, enquanto muitos destinatários podem clicar nesses hiperlinks e efetuar login nas contas do Office 365 para evitar a perda de acesso remoto aos servidores das organizações. Para clicar nesses hiperlinks suspeitos, os funcionários serão redirecionados na página de logon do Office 365 clonada, hospedada no domínio de propriedade da Microsoft “Web.core.windows.net” com o nome de Armazenamento de Blob do Azure. Essa plataforma tem como alvo os usuários do Office 365 e alegando que é uma artimanha perfeita, pois as páginas de destino receberão automaticamente seu próprio cadeado da página de origem por causa do “certificado SSL curinga .web.core.windows.net”. E os hackers por trás desse golpe tentam enganar os alvos mais suspeitos para clicar no certificado e ver que ele é organizado pela Microsoft CA para “.web.core.windows.net” automaticamente. No entanto, os URLs deste site não devem ser confiáveis ​​e os usuários devem fazer login apenas nas Páginas principais da empresa afiliada à empresa.

Os especialistas da Anormal Security Company declararam que os subdomínios “Azure Blob Storage” são usados ​​pelo invasor para phishing na página que é uma tática altamente eficaz que pode ser facilmente abordada se você configurar regras de bloqueio personalizadas do Office 365 para aproveitar os recursos de links seguros do Office 365 ATP para bloqueie-os automaticamente. Caso esse bloqueio não esteja configurado, os invasores não tentarão roubar suas credenciais ao inseri-las no formulário de Logon do Office 365. Essa página de logon oficial é hospedada pela Microsoft nos domínios Microsoft.com, live.com ou outlook.com.

Pesquisadores de segurança anormal descobriram no mês passado novo ataque de phishing como campanhas de phishing do Office 365 altamente convincentes que tentavam roubar credenciais de quase 50.000 usuários usando imagens clonadas de notificações automatizadas da Microsoft. Se você tiver alguma sugestão ou dúvida sobre esse assunto, escreva na caixa de comentários abaixo.