Online phishers gaan achter Microsoft Office 365-beheerdersaccounts aan met deze slimme zwendel

Als uw organisatie Office 365 gebruikt, hebt u waarschijnlijk inmiddels phishing-e-mails gezien die zich op uw community richten. Het is echter één ding wanneer phishing-aanvallen gericht zijn op reguliere gebruikers, en het is een heel ander verhaal wanneer criminelen streven naar het Microsoft Office 365-beheerdersaccount. Als een beheerdersaccount is gecompromitteerd, kunnen de gevolgen immers ook andere gebruikers op verschillende niveaus bereiken.

We zullen dit blogbericht gebruiken om u meer te vertellen over de diefstal van inloggegevens van Office 365 en dan zullen we de anti-phishing-beveiligingsrichtlijnen van Microsoft doornemen. Hoewel de door het bedrijf aanbevolen instellingen slechts de eerste stap zijn op weg naar een veilige virtuele omgeving, is die stap cruciaal als u uw systeem wilt beschermen.

De phishing-aanval op Microsoft Office 365-beheerdersaccounts

De pogingen om Office 365-accounts te compromitteren worden elke dag uitgevoerd. Grotere phishing-campagnes worden gedetecteerd door beveiligingsspecialisten, die deze essentiële informatie op hun blogs delen. De phishing-aanval waarover we willen praten, werd voor het eerst onthuld door PhishLabs in november 2019.

Volgens het rapport werden de kwaadaardige e-mails afgeleverd bij meerdere Microsoft Office 365-beheerdersaccounts. Deze e-mails werden "phishing-lokmiddelen" genoemd omdat het hun bedoeling was de beheerders ertoe te verleiden gevoelige informatie weg te geven.

Hoewel het heel normaal is dat reguliere gebruikers worden misleid om hun persoonlijke gegevens weg te geven, zou je verwachten dat systeembeheerders daar veel voorzichtiger mee omgaan. Schijnbaar was het ook wat de bedreigingsactoren ook dachten, omdat de phishing-lokaas-e-mails zich voordeden als officiële meldingen van Microsoft die vanuit verschillende gevalideerde domeinen werden verzonden.

Wat is een gevalideerd domein? Denk aan een domein dat er helemaal niet verdacht uitziet. Als u bijvoorbeeld een e-mail ontvangt met universiteits-initialen in de domeinnaam, zou u die e-mail waarschijnlijk meer vertrouwen, nietwaar? Dit is precies hoe deze zwendel werkt: de gevalideerde domeinen zijn misschien niet van Microsoft, maar ze zien er betrouwbaar uit, en dus kunnen beheerders ertoe worden gelokt de links in die phishing-lokken te likken.

Op het moment dat ze op de link klikken, worden ze echter omgeleid naar een valse Office 365-inlogpagina. Het lijkt op de normale, en als de beheerder zijn inloggegevens invoert, kunnen de boeven ze stelen en gebruiken om toegang tot het systeem te krijgen. Onnodig te zeggen dat een phishing-aanval op beheerdersniveau veel meer beveiligingsproblemen oplevert.

Volgens het rapport van PhishLabs kan het gecompromitteerde beheerdersaccount, afhankelijk van de Office 365-configuratie, ook toestaan dat cybercriminelen ook andere e-mailaccounts binnen het domein overnemen. Om nog maar te zwijgen over het feit dat ze soms met beheerdersrechten vergeten wachtwoorden opnieuw kunnen instellen en voorkeuren voor eenmalige aanmelding kunnen configureren. Als een beheerdersaccount wordt gecompromitteerd, kan het hele systeem dus worden blootgesteld aan ernstige gegevensdiefstal.

Afgezien van het stelen van de informatie door deze phishing-aanval, zouden hackers nieuwe accounts kunnen maken op het besmette domein. Zodra de criminelen een bepaald domein onder handbereik hebben, kunnen ze de bronnen van het domein gebruiken om meer phishing-lokmiddelen naar andere systemen te sturen. Zo eindigt er nooit een vicieuze cirkel van phishing-aanvallen. Het feit dat iemand deze phishing-lokmiddelen ontvangt, bewijst in feite alleen dat sommige domeinen al zijn aangetast. En dit leidt ons naar een ander punt.

Wat is er zo speciaal aan deze phishingaanval?

Zoals we al hebben vermeld, valt deze zwendel op omdat deze op beheerdersaccounts is gericht. Er is echter nog een ding dat het extreem stiekem maakt. Dat zou de infrastructuur van een legitieme organisatie zijn. Met behulp van een legitiem domein kunnen deze oplichters de gebruikelijke e-mailfilters vermijden die spam omleiden naar de map Ongewenst. Wanneer dergelijke berichten de hoofdinbox bereiken, zullen zelfs beheerders ze waarschijnlijk geloofwaardiger vinden.

Een ander interessant punt is dat de beheerders van gecompromitteerde domeinen die worden gebruikt voor deze phishing-aanval de kwaadaardige activiteit niet kunnen opmerken. Uit het onderzoek blijkt dat oplichters nieuwe accounts maken op de getroffen domeinen om spam te verzenden, en dus geen legitieme accountgebruikers de uitgaande e-mail opmerken. Het zijn niet de e-mailaccounts die worden uitgebuit, maar het domein zelf.

Phishingaanvallen voorkomen

Beveiligingsspecialisten beweren dat iedereen op zijn hoede moet zijn voor dergelijke phishing-aanvallen omdat het op dit moment niet lijkt te zijn gericht op een specifieke onderneming of sector. Beheerders moeten op hun hoede zijn voor e-mails met onderwerpregels als "Re: actie vereist!" Of "Re: we hebben uw account geblokkeerd."

In plaats van op de URL's in het bericht te klikken, wordt een beheerder geadviseerd onmiddellijk contact op te nemen met hun IT-afdeling. Uw onderneming kan verschillende methoden hebben om dergelijke e-mailincidenten tegen te gaan, maar dubbele controle van de e-mailinhoud is altijd een goed uitgangspunt.

Microsoft biedt deze richtlijnen die u zouden moeten helpen Office 365-bescherming tegen phishingaanvallen te verbeteren.

Hoe Office 365-bescherming te verbeteren

  1. Ga naar het beheercentrum en selecteer Beveiliging .
  2. Ga naar Bedreigingsbeheer , kies Beleid en ga naar ATP Anti-phishing .
  3. Kies Standaardbeleid en selecteer Bewerken in het gedeelte Imitatie .
  4. Open Domeinen toevoegen om te beschermen en selecteer om uw domeinen automatisch op te nemen.
  5. Open Actie , klik op de vervolgkeuzelijst Als e - mail wordt verzonden door een geïmiteerde gebruiker .
  6. Selecteer de gewenste actie en kies Veiligheidstips voor nabootsing inschakelen .
  7. Kies de gewenste tips en klik op Opslaan .
  8. Ga naar Mailbox-intelligentie en zorg ervoor dat deze is ingeschakeld .
  9. Selecteer Vertrouwde afzenders en domeinen toevoegen om betrouwbare domeinen en e-mailadressen toe te voegen.
  10. Ga naar Controleer uw instellingen en klik op Opslaan .
  11. Druk op Sluiten en verlaat het menu.

Afgezien van het gebruik van de meest elementaire beveiligingsmaatregelen, wordt het altijd ten zeerste aanbevolen om de reguliere gebruikers voortdurend te herinneren aan de gevaren van phishing-aanvallen. Soms kan een serieus probleem beginnen met één verdwaalde phishing-e-mail waar een afleidende gebruiker mee omgaat zonder na te denken.

Beheerders moeten overwegen gebruikers te informeren over het belang van sterke wachtwoorden en multi-factor authenticatie. Wachtwoordbeheerders worden ook sterk aanbevolen, en als u wilt weten hoe dat werkt, kunt u het zelf zien door op de oranje GRATIS 30-daagse proefknop aan de rechterkant te klikken.

Tegen Foley
February 6, 2020
Computer Security
Nederlands
February 6, 2020
Computer Security

Populaire posts

Microsoft waarschuwt dat door de staat gesteunde...

4 days geleden

Trojan Al11 malwaredetectie

11 months geleden

Pinaview is een volledig uitgeruste adware-app

10 months geleden

Pop-ups "Uw iCloud wordt gehackt" en "Uw iPhone is gehackt".

7 months geleden

Wat is Lucky-ransomware?

7 months geleden

'American Express - Update uw accountgegevens' E-mailfraude

6 months geleden
Nederlands
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.