Online Phishers går etter Microsoft Office 365-administratorkontoer ved bruk av denne smarte svindelen

Hvis organisasjonen din bruker Office 365, har du sannsynligvis sett phishing-e-poster som er rettet mot samfunnet ditt nå. Det er imidlertid en ting når phishing-angrep er rettet mot vanlige brukere, og det er en helt annen historie når kriminelle sikter seg inn på Microsoft Office 365-administratorkontoen. Når alt kommer til alt, hvis en admin-konto er kompromittert, kan konsekvensene nå andre brukere på forskjellige nivåer.

Vi vil bruke denne bloggposten for å fortelle deg mer om legitimasjonstyveriet for Office 365, og deretter vil vi gå gjennom retningslinjene for beskyttelse mot phishing som Microsoft tilbyr. Selv om innstillingene som er anbefalt av selskapet bare er det første skrittet mot et sikkert virtuelt miljø, er det å ta det trinnet avgjørende hvis du vil beskytte systemet ditt.

Phishing-angrepet mot Microsoft Office 365-administratorkontoer

Forsøkene på å kompromittere Office 365-kontoer blir utført hver eneste dag. Større phishing-kampanjer blir oppdaget av sikkerhetsspesialister som deler denne viktige informasjonen på bloggene sine. Phishing-angrepet som vi ønsker å snakke om ble først avslørt av PhishLabs i november 2019.

I følge rapporten ble de ondsinnede e-postene levert til flere Microsoft Office 365-administratorkontoer. Disse e-postene ble kalt “phishing lokker” fordi deres intensjon var å lokke administratorene til å gi bort sensitiv informasjon.

Selv om det er ganske vanlig at vanlige brukere blir lurt til å gi bort sine personlige opplysninger, kan man forvente at systemadministratorer er mye mer forsiktige med det. Tilsynelatende var det også hva trusselen skuespillerne trodde også, fordi phishing-lokke-e-postene maskerte som offisielle varsler fra Microsoft sendt fra forskjellige validerte domener.

Hva er et validert domene? Tenk på et domene som ikke ville se mistenkelig ut i det hele tatt. Hvis du for eksempel mottok en e-post med universitets initialer i domenenavnet, vil du sannsynligvis stole på den e-posten, ikke sant? Dette er nøyaktig hvordan denne svindelen fungerer: de validerte domenene hører kanskje ikke til Microsoft, men de ser pålitelige ut, og dermed kan administratorer bli lokket til å slikke lenkene i disse phishing-lokkene.

I det øyeblikket de klikker på lenken, blir de imidlertid omdirigert til en falsk innloggingsside for Office 365. Det ser ut som den vanlige, og hvis administratoren oppgir innloggingsinformasjon, kan kjeltringene stjele dem og bruke det for å få tilgang til systemet. Unødvendig å si, et phishing-angrep på administratornivå vekker mye mer sikkerhetsproblemer.

I følge rapporten fra PhishLabs, avhengig av Office 365-konfigurasjonen, kan den kompromitterte administratorkontoen også la cybercriminals ta over andre e-postkontoer innenfor domenet. For ikke å nevne at noen ganger administratorrettigheter tillater dem å tilbakestille glemte passord og konfigurere innstillinger for enkeltpålogging. Derfor, hvis en administratorkonto blir kompromittert, kan hele systemet være i fare for alvorlig datatyveri.

Bortsett fra å stjele informasjonen gjennom dette phishing-angrepet, kunne hackere opprette nye kontoer på det kompromitterte domenet. Når de kriminelle først har et visst domene under fingertuppene, kan de bruke domenets ressurser til å sende ut flere phishing-lokker til andre systemer. Dermed ender en ond sirkel med phishing-angrep aldri. Det faktum at noen mottar disse phishing-lokker, beviser bare at noen domener allerede har blitt kompromittert. Og dette fører oss til et annet punkt.

Hva er så spesielt med dette phishing-angrepet?

Som vi allerede har nevnt, skiller denne svindelen seg fordi den er rettet mot administratorkontoer. Imidlertid er det en ting til som gjør det ekstremt sleipt. Det ville være å bruke infrastrukturen til en legitim organisasjon. Ved å bruke et legitimt domene kan disse svindlerne unngå de vanlige e-postfiltrene som omdirigerer spam til søppelmappen. Når slike meldinger når hovedinnboksen, er det også mer sannsynlig at administratorer er troverdige.

Et annet interessant poeng er at administratorer av kompromitterte domener som brukes til dette phishing-angrepet ikke kan legge merke til den ondsinnede aktiviteten. Forskningen viser at svindlere oppretter nye kontoer på de berørte domenene for å sende ut spam, og at ingen legitime kontobrukere legger merke til utgående post. Det er ikke e-postkontoer som blir utnyttet, men selve domenet.

Hvordan unngå phishing-angrep

Sikkerhetsspesialister hevder at alle bør være på vakt mot slike phishing-angrep fordi det ikke virker som om en bestemt bedrift eller bransje blir målrettet for øyeblikket. Administratorer må bare være på vakt mot e-postmeldinger som kommer med emnelinjer som "Re: Handling påkrevd!" Eller "Re: Vi plasserte et tak på kontoen din."

I stedet for å klikke URL-ene i meldingen, anbefales en administrator å kontakte IT-avdelingen umiddelbart. Foretaket ditt kan ha forskjellige metoder for å motvirke slike e-posthendelser, men å dobbeltsjekke e-postinnholdet er alltid et godt utgangspunkt.

Microsoft tilbyr disse retningslinjene som skal hjelpe deg å forbedre Office 365-beskyttelsen mot phishing-angrep.

Hvordan forbedre Office 365-beskyttelsen

  1. Åpne administrasjonssenteret og velg Sikkerhet .
  2. Gå til Threat Management , velg Policy og gå til ATP Anti-phishing .
  3. Velg standardpolicy og velg Rediger i seksjonen Etterligning .
  4. Åpne Legg til domener for å beskytte og velge å automatisk inkludere domenene dine.
  5. Åpne handling , klikk på rullegardinmenyen Hvis e-post blir sendt av en upersonlig bruker .
  6. Velg handlingen du ønsker, og velg Slå på sikkerhetstips for ettertrykk.
  7. Velg tipsene du ønsker, og klikk Lagre .
  8. Gå til Mailbox-intelligens og sørg for at den er slått på .
  9. Velg Legg til pålitelige avsendere og domener for å legge til pålitelige domener og e-postadresser.
  10. Gå til Gjennomgang av innstillingene og klikk på Lagre .
  11. Trykk på Lukk og avslutt menyen.

Bortsett fra å bruke de mest grunnleggende sikkerhetstiltakene, er det alltid sterkt anbefalt å stadig minne de vanlige brukerne om farene bak phishing-angrep. Noen ganger kan et alvorlig problem begynne med en bortkommen phishing-e-post som en distrahert bruker samhandler med uten noen andre tanker.

Administratorer bør vurdere å utdanne brukere om viktigheten av sterke passord og multifaktorautentisering. Passordbehandlere er også sterkt anbefalt, og hvis du vil vite hvordan det fungerer, kan du se det selv ved å klikke på den oransje GRATIS 30-dagers prøveknapp til høyre.

February 6, 2020

Legg igjen et svar