A Microsoft 6 olyan domaint vett át, amelyek COVID-19 csalásokat használtak az Office 365 fiókok eltérítésére

2019 decemberében a számítógépes bűnözők egy okos adathalászati kampányt indítottak a világ 62 országában működő szervezetekkel szemben. Céluk az volt, hogy eltérítsenek néhány Office 365 fiókot, és hozzáférjenek bármihez, a névjegyzékből az érzékeny fájlokig. A Microsoft észrevette a támadást, és intézkedéseket tett az ügyfelek védelme érdekében. A kampányt eredetileg leállították, de sajnos az intézkedések csak rövid ideig működtek, és a hackerek újabb támadási hullámmal tértek vissza.

Meglepő módon vagy sem, a Microsoft ismét fellépést kezdett, és a kampány során használt domainek azonosítása után jogi lépéseket tett és kérte, hogy vigyék át őket. A ZDNet kedden közzétett bírósági dokumentuma szerint a szoftver óriás jelenleg hat domaint irányít, amelyek egészen a közelmúltig a csalókhoz tartoztak.

Ez határozottan jó hír, de nézzük meg, hogy a bírósági határozat véget vet-e a bűnözők támadásainak.

A COVID-19 adathalász csalások az Office 365 felhasználóit célozzák meg

A csalás társadalmilag kidolgozott e-maillel kezdődött. Az üzenetek azt állították, hogy a szervezet alkalmazottja vagy egy megbízható partner megosztja az Office 365 dokumentumot, és kezdetben a célokat arra gondolták, hogy az e-mailben található linkre kattintva valami hasonlót látnak majd negyedéves pénzügyi jelentésben. A koronavírus-járvány közepette azonban a hackerek elkezdték a rosszindulatú kapcsolataikat álcázni, mint COVID-19 kapcsolódó üzleti dokumentumokat.

Mint gondolnád, az e-mailben található link nem vezetett semmilyen leírást tartalmazó Office 365 dokumentumhoz. A ZDNet szerint először elküldte a felhasználókat a Microsoft legitim bejelentkezési űrlapjára, és a sikeres hitelesítés után átirányította őket a lefoglalt tartományok egyikére.

Az adathalász támadás csavarral

A támadók végső célja az volt, hogy átvegyék a célpont Office 365 fiókját, de kíváncsi módon nem tették ezt bejelentkezési adatok felhasználásával. Ehelyett rosszindulatú Office 365 alkalmazások révén tették meg azokat a területeket, amelyek a Microsoft most a birtokában vannak.

Az Office 365 hatékony felhasználása bizonyos szervezetekben számos olyan alkalmazástól függ, amelyek javítják a szolgáltatás funkcionalitását vagy biztonságát, és a felhasználók nem idegenek, ha összekapcsolják őket a fiókjukkal. Az összes Office 365 alkalmazás engedélyt kér a felhasználói fiókhoz történő csatlakozás előtt, és a bűnözők rosszindulatú alkalmazásai sem voltak kivételek. Az alkalmazások tervezése által létrehozott legitimitás becsapása által az átverés miatt áldozatok áldozatok többé-kevésbé korlátlan hozzáférést biztosítottak a számítógépes bűnözőkhez e-maileikhez, fájljaikhoz, névjegyzékükhöz és beállításaikhoz. És megtették anélkül, hogy feltárták volna jelszavaikat.

Ez egy kifinomult Business Email Compromise (BEC) támadás volt, és nehéz elképzelni, hogy mennyibe kerülhetne. A rosszindulatú domainek lefoglalása azt jelenti, hogy az alkalmazások már nem aktívak, és a kampány egyelőre leállt, de sajnos küzdenek azon, hogy meggátoljuk, mi akadályozhatja meg a számítógépes bűnözőket abban, hogy új domaineket regisztráljanak és bármikor megújítsák erőfeszítéseiket.

A rosszindulatú Office 365 alkalmazások szokatlan és viszonylag új támadási vektorokat képviselnek, és amint láthatja, könyörtelenül hatékony lehet. A Microsoft szolgáltatásait használó vállalkozások és szervezetek nem szabad alábecsülni, és a lehető leggyorsabban be kell építeniük a fenyegetési modellbe.