Αυτή η απάτη ηλεκτρονικού "ψαρέματος" απειλεί να καταλάβει τους λογαριασμούς της Microsoft 365 με τη χρήση ψεύτικων φωνητικών μηνυμάτων

Η Microsoft 365 είχε πάνω από 155 εκατομμύρια επιχειρησιακούς χρήστες το 2018 , και με τη δημοτικότητα της συνεχώς αυξανόμενη, δεν είναι περίεργο ότι οι χάκερ το βρίσκουν αξίζει τον κόπο τους να επιτεθούν στους χρήστες αυτών των υπηρεσιών. Σύμφωνα με ειδικούς από την McAfee Labs, οι οποίοι ανακάλυψαν μια απάτη ηλεκτρονικού "ψαρέματος" που απευθύνεται σε χρήστες της Microsoft 365, οι χάκερ φαίνεται να χρησιμοποιούν ψεύτικα μηνύματα φωνητικών μηνυμάτων για να εξαπατήσουν τα θύματά τους αποκαλύπτοντας τα διαπιστευτήρια σύνδεσης των λογαριασμών της Microsoft 365. Δεν είναι η πρώτη φορά που οι κυβερνοεγκληματίες χρησιμοποιούν υπηρεσίες φωνητικού ταχυδρομείου για να επιτεθούν στους χρήστες. Όχι πολύ καιρό πριν, οι χάκερ προσπάθησαν να αναλάβουν τους λογαριασμούς των χρηστών του WhatsApp που χρησιμοποίησαν προεπιλεγμένους κωδικούς πρόσβασης για τις υπηρεσίες φωνητικού ταχυδρομείου τους. Αυτή τη φορά το σενάριο είναι λίγο διαφορετικό, καθώς οι χάκερ δεν χρειάζονται πρόσβαση στον τηλεφωνητή σας. Αν διαβάσετε το πλήρες άρθρο μας, μπορείτε να μάθετε περισσότερα σχετικά με τον τρόπο με τον οποίο λειτουργεί αυτή η απάτη και πώς να ασφαλίσετε τον λογαριασμό της Microsoft 365, για να βεβαιωθείτε ότι οι εγκληματίες του κυβερνοχώρου θα δυσκολευόταν να το παραβιάσουν.

Πώς λειτουργεί η απάτη με φωνητικό ταχυδρομείο;

Ένας χρήστης που στοχεύει θα πρέπει να λάβει ένα μήνυμα ηλεκτρονικού "ψαρέματος" που θα έπρεπε να πει ότι έχει χάσει μια τηλεφωνική κλήση από έναν συγκεκριμένο αριθμό τηλεφώνου. Το μήνυμα ηλεκτρονικού ταχυδρομείου ενδέχεται να μην φαίνεται καθόλου ύποπτο εάν δεν εξετάζετε προσεκτικά το μήνυμα. Θα πρέπει να περιέχει το λογότυπο της Microsoft καθώς και πληροφορίες σχετικά με μια αναπάντητη κλήση. Αυτό που μπορεί να φαίνεται περίεργο είναι ότι το μήνυμα ηλεκτρονικού ταχυδρομείου μπορεί να περιέχει μια σημείωση που λέει: " Αυτό είναι ένα αυτοματοποιημένο μήνυμα και χρειάζεται άμεση προσοχή παρακαλώ μην απαντήσετε. "Δεν έχει μόνο γραμματικά λάθη, αλλά και προτρέπει έναν χρήστη να κάνει κάτι, το οποίο θα πρέπει πάντα να δημιουργήσει μια κόκκινη σημαία. Πώς μπορεί ένα σύστημα να γνωρίζει ότι το μήνυμα είναι σημαντικό ή ότι χρειάζεται την άμεση προσοχή σας;

Εάν ένας χρήστης πέσει για το ψέμα και ανοίξει το αρχείο HTML που είναι προσαρτημένο στο ηλεκτρονικό μήνυμα ηλεκτρονικού "ψαρέματος" (phishing), μπορεί να ανακατευθυνθεί σε έναν ιστότοπο ηλεκτρονικού "ψαρέματος" (phishing). Το κείμενο στον ψεύτικο ιστότοπο φωνητικού ταχυδρομείου θα έπρεπε να λέει: " Περιμένετε μέχρι η Microsoft να παραλάβει το φωνητικό σας μήνυμα από το διακομιστή. "Πολύ σύντομα, ένα θύμα θα μπορούσε να ακούσει ένα μέρος ενός ψεύτικου μηνύματος φωνητικού ταχυδρομείου που καταγράφηκε από τους απατεώνες. Φυσικά, για να ακούσετε την πλήρη καταγραφή, οι χρήστες ενδέχεται να καλούνται να συνδεθούν στον λογαριασμό τους Microsoft 365. Ως εκ τούτου, ο ιστότοπος ηλεκτρονικού "ψαρέματος" πρέπει να ανακατευθύνει τα θύματα σε έναν ψεύτικο ιστοχώρο σύνδεσης, ο οποίος μπορεί να χρησιμοποιεί το σχέδιο της Microsoft καθώς και το λογότυπο της εταιρείας. Κατά συνέπεια, οι χρήστες ενδέχεται να πιστεύουν ότι βρίσκονται σε έναν νόμιμο ιστότοπο σύνδεσης της Microsoft 365.

Αφού ο θύμα υποβάλει τα διαπιστευτήρια σύνδεσης του με το Microsoft 365, θα πρέπει να δει ένα μήνυμα που ισχυρίζεται ότι έχει συνδεθεί με επιτυχία. Λίγο μετά το βλέπουμε, ένας χρήστης θα έπρεπε να ανακατευθυνθεί στη νόμιμη ιστοσελίδα του office.com. Επομένως, ίσως χρειαστεί λίγος χρόνος για να συνειδητοποιήσετε ότι δεν υπήρχε μήνυμα τηλεφωνητή και ότι τα διαπιστευτήρια σύνδεσης του λογαριασμού που κατατέθηκαν καταγράφηκαν από τους κυβερνοεγκληματίες.

Πώς να ασφαλίσετε τον λογαριασμό Microsoft 365;

Αντί να πανικοβληθούμε για την τελευταία απάτη κατά phishing, σας συμβουλεύουμε να μάθετε πώς μπορείτε να διασφαλίσετε στους λογαριασμούς της Microsoft 365 να συνεχίσετε να χρησιμοποιείτε αυτές τις υπηρεσίες χωρίς τον φόβο ότι οι λογαριασμοί σας ή οι εργαζόμενοί σας θα μπορούσαν να γκρεμιστούν. Για να το κάνετε αυτό, συνιστούμε να χρησιμοποιήσετε τις συμβουλές που αναφέρονται παρακάτω.

Ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων

Ο έλεγχος ταυτότητας δύο παραγόντων είναι ένας πολύ καλός τρόπος για να προσθέσετε ένα πρόσθετο επίπεδο ασφαλείας σε οποιονδήποτε λογαριασμό. Αφού το ενεργοποιήσετε, θα πρέπει να ζητηθεί από τους χρήστες να παρέχουν όχι μόνο τα διαπιστευτήρια σύνδεσης ενός λογαριασμού αλλά και έναν κωδικό επαλήθευσης που λαμβάνεται μέσω ηλεκτρονικού ταχυδρομείου ή τηλεφώνου. Σε μια τέτοια περίπτωση, ακόμα και αν οι κυβερνοεγκληματίες μάθουν το όνομα χρήστη και τον κωδικό πρόσβασης ενός λογαριασμού, θα εξακολουθούν να μην μπορούν να συνδεθούν χωρίς να δώσουν τον απαιτούμενο κωδικό. Ωστόσο, να έχετε υπόψη σας ότι, όπως και κάθε άλλο μέτρο ασφαλείας, ο έλεγχος ταυτότητας με δύο παράγοντες δεν μπορεί να εγγυηθεί την απόλυτη προστασία , γι 'αυτό είναι πιο έξυπνο να λαμβάνετε όσες προφυλάξεις ασφαλείας μπορείτε.

Ρύθμιση ισχυρών κωδικών πρόσβασης

Ακόμα και αν ενεργοποιήσετε τον έλεγχο ταυτότητας δύο παραγόντων, αυτό δεν σημαίνει ότι μπορείτε να χρησιμοποιήσετε αλησμόνητους και αδύναμους κωδικούς πρόσβασης. Για να διασφαλίσετε ότι ο λογαριασμός σας Microsoft 365 είναι όσο το δυνατόν πιο ασφαλής, σας συνιστούμε να ρυθμίσετε έναν ισχυρό κωδικό πρόσβασης. Οι ειδικοί συστήνουν τη χρήση τουλάχιστον 10-12 χαρακτήρων που θα πρέπει να περιλαμβάνουν τόσο μικρά γράμματα όσο και κεφαλαία γράμματα, αριθμούς και σύμβολα για τη δημιουργία ενός ασφαλούς συνδυασμού κωδικών πρόσβασης. Αν δεν νομίζετε ότι μπορείτε να βρείτε έναν τέτοιο κωδικό πρόσβασης ή ίσως δεν μπορείτε να το απομνημονεύσετε, σας συνιστούμε να χρησιμοποιήσετε ένα ειδικό εργαλείο όπως το Cyclonis Password Manager που θα μπορούσε να το φροντίσει για εσάς.

Ασφαλείς λογαριασμοί διαχείρισης

Οι διοικητικοί λογαριασμοί των υπηρεσιών της Microsoft 365 ενδέχεται να παρέχουν διάφορα προνόμια και συνεπώς οι κυβερνοεγκληματίες ενδέχεται να τους στοχεύουν συχνότερα. Συνεπώς, οι ειδικοί συστήνουν να διασφαλίζεται ότι οι λογαριασμοί αυτοί προστατεύονται με μοναδικούς κωδικούς πρόσβασης και έλεγχο ταυτότητας δύο παραγόντων. Επίσης, συνιστάται να χρησιμοποιείτε τέτοιους λογαριασμούς μόνο όταν είναι απαραίτητο και να κλείνετε τις μη απαραίτητες καρτέλες του προγράμματος περιήγησης πριν την πρόσβαση σε αυτές.

Εκπαιδεύστε τους υπαλλήλους που χρησιμοποιούν τις υπηρεσίες της Microsoft 365

Ακόμα και αν χρησιμοποιείτε πολλαπλές προφυλάξεις ασφαλείας για να ασφαλίσετε το λογαριασμό της Microsoft 365, ίσως να εξακολουθεί να παραβιάζεται λόγω ανθρώπινου σφάλματος. Οι εταιρείες που επιθυμούν να αποτρέψουν κάτι τέτοιο πρέπει να εκπαιδεύσουν τους υπαλλήλους τους για την ασφάλεια στον κυβερνοχώρο και τις τελευταίες απειλές στον κυβερνοχώρο. Για παράδειγμα, για να διασφαλιστεί ότι τα ηλεκτρονικά μηνύματα απάτης που απευθύνονται στους χρήστες της Microsoft 365 εντοπίζονται εγκαίρως, οι υπάλληλοί σας θα πρέπει να διδάσκονται πώς να αναγνωρίζουν τα μηνύματα ηλεκτρονικού ταχυδρομείου ηλεκτρονικού "ψαρέματος" και τους ιστότοπους. Επίσης, οι εργαζόμενοι θα πρέπει να γνωρίζουν τα προγράμματα και τις υπηρεσίες που χρησιμοποιούν για την εργασία τους, ώστε να γνωρίζουν τι μπορούν να περιμένουν από αυτά και ποια συμπεριφορά ή αιτήματα από το λογισμικό που χρησιμοποιούν θα μπορούσε να είναι ύποπτη.

Συνολικά, η τελευταία απάτη που απευθύνεται στους χρήστες της Microsoft 365 μας δείχνει ότι τα μηνύματα ηλεκτρονικού "ψαρέματος" δεν πρέπει να ξεχαστούν ακόμα. Δυστυχώς, η εξέταση των ηλεκτρονικών μηνυμάτων εξακολουθεί να είναι απαραίτητη για όσους από εμάς δεν θέλουν να εξαπατηθούν. Επίσης, είναι εξίσου σημαντικό να ακολουθήσετε τις ειδήσεις στον κυβερνοχώρο για να μάθετε για τέτοιες επιθέσεις εγκαίρως. Ας ελπίσουμε ότι αυτή η ανάρτηση στο blog θα βοηθήσει στην ευαισθητοποίηση σχετικά με αυτήν την απάτη ηλεκτρονικού "ψαρέματος" (phishing) καθώς επίσης θα βοηθήσει τους χρήστες να εξασφαλίσουν τους λογαριασμούς της Microsoft 365 για να τους προστατεύσουν από το να τους παραβιάσουν. Για όσους μπορεί να μην έχουν μάθει έγκαιρα τα ηλεκτρονικά μηνύματα ηλεκτρονικού "ψαρέματος" και να έχουν αποκαλύψει τα διαπιστευτήριά τους σύνδεσης σε εγκληματίες του κυβερνοχώρου, συνιστούμε να χρησιμοποιήσετε τον οδηγό που παρέχεται από τη Microsoft.