Online Phishers kører efter Microsoft Office 365-administratorkonti ved hjælp af denne smarte fidus

Hvis din organisation bruger Office 365, har du sandsynligvis set phishing-e-mails, der er målrettet mod dit samfund nu. Det er dog en ting, når phishing-angreb er rettet mod almindelige brugere, og det er en helt anden historie, når kriminelle sigter mod Microsoft Office 365-administratorkontoen. Når alt kommer til alt, hvis en admin-konto er kompromitteret, kan følgerne også nå andre brugere på tværs af forskellige niveauer.

Vi vil bruge denne blogpost til at fortælle dig mere om Office 365-legitimations tyveri, og derefter vil vi gennemgå retningslinjerne for beskyttelse mod phishing, der tilbydes af Microsoft. Selvom de indstillinger, der er anbefalet af virksomheden, kun er det første skridt mod et sikkert virtuelt miljø, er det at tage dette skridt afgørende, hvis du vil beskytte dit system.

Phishing-angreb mod Microsoft Office 365-administratorkonti

Forsøgene på at kompromittere Office 365-konti udføres hver eneste dag. Større phishing-kampagner bliver opdaget af sikkerhedsspecialister, der deler disse vigtige oplysninger på deres blogs. Phishing-angrebet, som vi ønsker at tale om, blev først afsløret af PhishLabs i november 2019.

Ifølge rapporten blev de ondsindede e-mails leveret til flere Microsoft Office 365-administratorkonti. Disse e-mails blev kaldt ”phishing lokker”, fordi deres intention var at lokke administratorerne til at give væk følsomme oplysninger.

Selvom det er ret almindeligt, at almindelige brugere bliver narret til at give væk deres personlige legitimationsoplysninger, kan man forvente, at systemadministratorer er meget mere forsigtige med det. Tilsyneladende var det også, hvad truslen skuespillere troede også, fordi phishing-lokke-e-mails, der var maskerede som officielle meddelelser fra Microsoft sendt fra forskellige validerede domæner.

Hvad er et valideret domæne? Tænk på et domæne, der slet ikke ser mistænksom ud. Hvis du f.eks. Modtog en e-mail med universitets initialer i dets domænenavn, ville du være mere tilbøjelig til at stole på den e-mail, ikke sandt? Dette er nøjagtigt, hvordan denne fidus fungerer: de validerede domæner hører muligvis ikke til Microsoft, men de ser pålidelige ud, og dermed kan administratorer lokkes til at slikke linkene i disse phishing-lokker.

I det øjeblik de klikker på linket, omdirigeres de imidlertid til en falsk Office 365-login-side. Det ligner den almindelige, og hvis administratoren indtaster deres loginoplysninger, kan skurkerne stjæle dem og bruge det til at få adgang til systemet. Det er overflødigt at sige, at phishing-angreb på admin-niveau rejser meget mere sikkerhedsproblemer.

I henhold til PhishLabs-rapporten, afhængigt af Office 365-konfigurationen, kan den kompromitterede admin-konto også tillade cyberkriminelle at overtage andre e-mail-konti inden for domænet. For ikke at nævne, at administrationsprivilegier nogle gange tillader dem at nulstille glemte adgangskoder og konfigurere præferencer for enkelt-sign-on. Derfor, hvis en admin-konto er kompromitteret, kan hele systemet være i fare for svær datatyveri.

Bortset fra at stjæle informationen gennem dette phishing-angreb, kunne hackere oprette nye konti på det kompromitterede domæne. Når de kriminelle først har et bestemt domæne under hånden, kan de også bruge domænes ressourcer til at sende flere phishing lokker til andre systemer. Således ender en ond cirkel af phishing-angreb aldrig. Faktisk beviser det faktum, at nogen modtager disse phishing lokker, bare at nogle domæner allerede er kompromitteret. Og dette fører os til et andet punkt.

Hvad er så specielt ved dette phishing-angreb?

Som vi allerede har nævnt, skiller denne fidus sig ud, fordi den er målrettet mod administratorkonti. Der er dog endnu en ting, der gør det ekstremt lusent. Det ville bruge infrastrukturen i en legitim organisation. Brug af et legitimt domæne giver disse svindlere mulighed for at undgå de sædvanlige e-mail-filtre, der omdirigerer spam til mappen Uønsket. Når sådanne meddelelser når hovedindbakken, er det endda mere sandsynligt, at administratorer finder dem troværdige.

Et andet interessant punkt er, at administratorerne af kompromitterede domæner, der bruges til dette phishing-angreb, ikke kan bemærke den ondsindede aktivitet. Undersøgelsen viser, at svindlere opretter nye konti på de berørte domæner for at sende spam, og derfor har ingen legitime kontobrugere bemærket den udgående mail. Det er ikke e-mail-konti, der bliver udnyttet, men selve domænet.

Sådan undgås phishing-angreb

Sikkerhedsspecialister hævder, at alle skal være på vagt over for sådanne phishing-angreb, fordi det ikke ser ud til, at en bestemt virksomhed eller branche er målrettet i øjeblikket. Administratorer skal bare være på vagt over for e-mails, der kommer med sådanne emnelinjer som "Re: Handling krævet!" Eller "Re: Vi placerede et hold på din konto."

I stedet for at klikke på URL-adresserne i meddelelsen, tilrådes en administrator at kontakte deres IT-afdeling straks. Din virksomhed kan have forskellige metoder til at imødegå sådanne e-mailhændelser, men dobbeltkontrol af e-mail-indholdet er altid et godt udgangspunkt.

Microsoft tilbyder disse retningslinjer, der skal hjælpe dig med at forbedre Office 365-beskyttelsen mod phishing-angreb.

Sådan forbedres Office 365-beskyttelse

  1. Åbn administrationscentret, og vælg Sikkerhed .
  2. Gå til Threat Management , vælg Policy og gå til ATP Anti-phishing .
  3. Vælg Standardpolitik, og vælg Rediger i sektionen Impersonation .
  4. Åbn Tilføj domæner for at beskytte og vælge automatisk at inkludere dine domæner.
  5. Åbn handling , klik på rullemenuen Hvis e-mail er sendt af en upersonlig bruger .
  6. Vælg den handling, du ønsker, og vælg Tænd for efterlysningssikkerhedstips.
  7. Vælg de ønskede tip, og klik på Gem .
  8. Gå til Mailbox-intelligens, og sørg for, at den er tændt .
  9. Vælg Tilføj betroede afsendere og domæner for at tilføje pålidelige domæner og e-mail-adresser.
  10. Gå til Gennemse dine indstillinger, og klik på Gem .
  11. Tryk på Luk og forlad menuen.

Bortset fra at anvende de mest basale sikkerhedsforanstaltninger, anbefales det altid stærkt at konstant minde de regelmæssige brugere om farerne bag phishing-angreb. Nogle gange kan et alvorligt problem begynde med en forvillet phishing-e-mail, som en distraheret bruger interagerer med uden nogen anden tanke.

Administratorer bør overveje at uddanne brugere om vigtigheden af stærke adgangskoder og godkendelse af flere faktorer. Adgangskodeadministratorer anbefales også stærkt, og hvis du vil vide, hvordan det fungerer, kan du se det selv ved at klikke på den orange GRATIS 30-dages prøveknapp til højre.

February 6, 2020

Efterlad et Svar