I phisher online si occupano degli account amministratore di Microsoft Office 365 utilizzando questa truffa intelligente

Se la tua organizzazione utilizza Office 365, probabilmente hai già visto e-mail di phishing destinate alla tua community. Tuttavia, è una cosa quando gli attacchi di phishing prendono di mira gli utenti normali ed è una storia completamente diversa quando i criminali puntano all'account amministratore di Microsoft Office 365. Dopotutto, se un account amministratore è compromesso, le ripercussioni potrebbero raggiungere anche altri utenti su livelli diversi.

Utilizzeremo questo post di blog per dirti di più sul furto di credenziali di Office 365, quindi seguiremo le linee guida sulla protezione anti-phishing offerte da Microsoft. Sebbene le impostazioni consigliate dalla società siano solo il primo passo verso un ambiente virtuale sicuro, fare questo passo è cruciale se si desidera proteggere il proprio sistema.

L'attacco di phishing contro gli account amministratore di Microsoft Office 365

I tentativi di compromettere gli account di Office 365 vengono eseguiti ogni giorno. Campagne di phishing più grandi vengono rilevate dagli specialisti della sicurezza, che condividono queste informazioni vitali sui loro blog. L'attacco di phishing di cui vogliamo parlare è stato rivelato per la prima volta da PhishLabs a novembre 2019.

Secondo il rapporto, le e-mail dannose sono state recapitate a più account amministratore di Microsoft Office 365. Queste e-mail venivano chiamate "esche artificiali di phishing" perché la loro intenzione era di attirare gli amministratori nel fornire informazioni sensibili.

Mentre è abbastanza comune per gli utenti regolari essere ingannati nel dare via le loro credenziali personali, ci si aspetterebbe che gli amministratori di sistema siano molto più attenti al riguardo. Apparentemente, era anche quello che pensavano anche gli attori della minaccia, perché le e-mail di richiamo di phishing mascherate da notifiche ufficiali di Microsoft inviate da vari domini convalidati.

Che cos'è un dominio convalidato? Bene, pensa a un dominio che non sembrerebbe affatto sospetto. Ad esempio, se hai ricevuto un'email con le iniziali universitarie nel suo nome di dominio, avresti maggiori probabilità di fidarti di quell'email, vero? Questo è esattamente come funziona questa truffa: i domini convalidati potrebbero non appartenere a Microsoft, ma sembrano affidabili e quindi gli amministratori potrebbero essere attirati a leccare i collegamenti in quelle esche phishing.

Nel momento in cui fanno clic sul collegamento, tuttavia, vengono reindirizzati a una pagina di accesso di Office 365 falsa. Sembra proprio quello normale e se l'amministratore immette le proprie credenziali di accesso, i truffatori possono rubarle e usarlo per accedere al sistema. Inutile dire che un attacco di phishing a livello di amministratore solleva molte più preoccupazioni sulla sicurezza.

Secondo il rapporto di PhishLabs, a seconda della configurazione di Office 365, l'account amministratore compromesso potrebbe consentire ai criminali informatici di assumere anche altri account di posta elettronica all'interno del dominio. Per non parlare del fatto che a volte i privilegi di amministratore consentono loro di ripristinare le password dimenticate e di configurare le preferenze Single Sign-On. Pertanto, se un account amministratore viene compromesso, l'intero sistema potrebbe essere a rischio di un grave furto di dati.

Oltre a rubare le informazioni attraverso questo attacco di phishing, gli hacker potrebbero creare nuovi account nel dominio compromesso. Inoltre, una volta che i criminali hanno un determinato dominio a portata di mano, possono utilizzare le risorse del dominio per inviare più esche di phishing ad altri sistemi. Pertanto, un circolo vizioso di attacchi di phishing non finisce mai. In effetti, il fatto che qualcuno riceva queste esche di phishing dimostra solo che alcuni domini sono già stati compromessi. E questo ci porta ad un altro punto.

Cosa c'è di così speciale in questo attacco di phishing?

Come abbiamo già detto, questa truffa si distingue perché ha come target gli account amministratore. Tuttavia, c'è un'altra cosa che lo rende estremamente subdolo. Quello sarebbe usare l'infrastruttura di un'organizzazione legittima. L'uso di un dominio legittimo consente a questi truffatori di evitare i soliti filtri e-mail che reindirizzano lo spam nella cartella Junk. Inoltre, quando tali messaggi raggiungono la posta in arrivo principale, anche gli amministratori hanno maggiori probabilità di trovarli credibili.

Un altro punto interessante è che gli amministratori di domini compromessi utilizzati per questo attacco di phishing non possono notare l'attività dannosa. La ricerca mostra che i truffatori creano nuovi account sui domini interessati per inviare spam, e quindi nessun utente legittimo account nota la posta in uscita. Non sono gli account di posta elettronica che vengono sfruttati, ma il dominio stesso.

Come evitare gli attacchi di phishing

Gli specialisti della sicurezza sostengono che tutti dovrebbero stare attenti a tali attacchi di phishing perché non sembra che al momento venga presa di mira una specifica impresa o industria. Gli amministratori devono solo diffidare delle e-mail che arrivano con argomenti come "Ri: azione obbligatoria!" O "Ri: abbiamo messo un blocco sul tuo account".

Invece di fare clic sugli URL nel messaggio, si consiglia a un amministratore di contattare immediatamente il proprio reparto IT. La tua azienda potrebbe avere vari metodi per contrastare tali incidenti e-mail, ma ricontrollare il contenuto dell'email è sempre un buon punto di partenza.

Microsoft offre queste linee guida che dovrebbero aiutarti a migliorare la protezione di Office 365 contro gli attacchi di phishing.

Come migliorare la protezione di Office 365

  1. Accedi al centro di amministrazione e seleziona Sicurezza .
  2. Vai a Gestione delle minacce , scegli Politica e vai a Anti-phishing ATP .
  3. Scegli Politica predefinita e seleziona Modifica nella sezione Rappresentazione .
  4. Apri Aggiungi domini per proteggere e seleziona per includere automaticamente i tuoi domini.
  5. Apri Azione , fai clic sul menu a discesa Se l'e - mail viene inviata da un utente impersonato .
  6. Seleziona l' azione desiderata e scegli Attiva suggerimenti per la sicurezza della rappresentazione.
  7. Scegli i suggerimenti che desideri e fai clic su Salva .
  8. Vai a Mailbox intelligence e assicurati che sia acceso .
  9. Selezionare Aggiungi mittenti e domini attendibili per aggiungere domini e indirizzi e-mail affidabili.
  10. Vai a Rivedi le tue impostazioni e fai clic su Salva .
  11. Premere Chiudi ed uscire dal menu.

Oltre ad adottare le misure di sicurezza più elementari, si consiglia sempre vivamente di ricordare costantemente agli utenti regolari i pericoli dietro gli attacchi di phishing. A volte un problema serio può iniziare con un'unica e-mail di phishing con cui un utente distratto interagisce senza pensarci due volte.

Gli amministratori dovrebbero considerare di informare gli utenti sull'importanza di password complesse e autenticazione a più fattori. Anche i gestori di password sono altamente raccomandati e se vuoi sapere come funziona, puoi vederlo da solo facendo clic sul pulsante arancione GRATUITO di prova di 30 giorni sulla destra.

February 6, 2020

Lascia un Commento