Online phishers gaan achter Microsoft Office 365-beheerdersaccounts aan met deze slimme zwendel

Als uw organisatie Office 365 gebruikt, hebt u waarschijnlijk inmiddels phishing-e-mails gezien die zich op uw community richten. Het is echter één ding wanneer phishing-aanvallen gericht zijn op reguliere gebruikers, en het is een heel ander verhaal wanneer criminelen streven naar het Microsoft Office 365-beheerdersaccount. Als een beheerdersaccount is gecompromitteerd, kunnen de gevolgen immers ook andere gebruikers op verschillende niveaus bereiken.

We zullen dit blogbericht gebruiken om u meer te vertellen over de diefstal van inloggegevens van Office 365 en dan zullen we de anti-phishing-beveiligingsrichtlijnen van Microsoft doornemen. Hoewel de door het bedrijf aanbevolen instellingen slechts de eerste stap zijn op weg naar een veilige virtuele omgeving, is die stap cruciaal als u uw systeem wilt beschermen.

De phishing-aanval op Microsoft Office 365-beheerdersaccounts

De pogingen om Office 365-accounts te compromitteren worden elke dag uitgevoerd. Grotere phishing-campagnes worden gedetecteerd door beveiligingsspecialisten, die deze essentiële informatie op hun blogs delen. De phishing-aanval waarover we willen praten, werd voor het eerst onthuld door PhishLabs in november 2019.

Volgens het rapport werden de kwaadaardige e-mails afgeleverd bij meerdere Microsoft Office 365-beheerdersaccounts. Deze e-mails werden "phishing-lokmiddelen" genoemd omdat het hun bedoeling was de beheerders ertoe te verleiden gevoelige informatie weg te geven.

Hoewel het heel normaal is dat reguliere gebruikers worden misleid om hun persoonlijke gegevens weg te geven, zou je verwachten dat systeembeheerders daar veel voorzichtiger mee omgaan. Schijnbaar was het ook wat de bedreigingsactoren ook dachten, omdat de phishing-lokaas-e-mails zich voordeden als officiële meldingen van Microsoft die vanuit verschillende gevalideerde domeinen werden verzonden.

Wat is een gevalideerd domein? Denk aan een domein dat er helemaal niet verdacht uitziet. Als u bijvoorbeeld een e-mail ontvangt met universiteits-initialen in de domeinnaam, zou u die e-mail waarschijnlijk meer vertrouwen, nietwaar? Dit is precies hoe deze zwendel werkt: de gevalideerde domeinen zijn misschien niet van Microsoft, maar ze zien er betrouwbaar uit, en dus kunnen beheerders ertoe worden gelokt de links in die phishing-lokken te likken.

Op het moment dat ze op de link klikken, worden ze echter omgeleid naar een valse Office 365-inlogpagina. Het lijkt op de normale, en als de beheerder zijn inloggegevens invoert, kunnen de boeven ze stelen en gebruiken om toegang tot het systeem te krijgen. Onnodig te zeggen dat een phishing-aanval op beheerdersniveau veel meer beveiligingsproblemen oplevert.

Volgens het rapport van PhishLabs kan het gecompromitteerde beheerdersaccount, afhankelijk van de Office 365-configuratie, ook toestaan dat cybercriminelen ook andere e-mailaccounts binnen het domein overnemen. Om nog maar te zwijgen over het feit dat ze soms met beheerdersrechten vergeten wachtwoorden opnieuw kunnen instellen en voorkeuren voor eenmalige aanmelding kunnen configureren. Als een beheerdersaccount wordt gecompromitteerd, kan het hele systeem dus worden blootgesteld aan ernstige gegevensdiefstal.

Afgezien van het stelen van de informatie door deze phishing-aanval, zouden hackers nieuwe accounts kunnen maken op het besmette domein. Zodra de criminelen een bepaald domein onder handbereik hebben, kunnen ze de bronnen van het domein gebruiken om meer phishing-lokmiddelen naar andere systemen te sturen. Zo eindigt er nooit een vicieuze cirkel van phishing-aanvallen. Het feit dat iemand deze phishing-lokmiddelen ontvangt, bewijst in feite alleen dat sommige domeinen al zijn aangetast. En dit leidt ons naar een ander punt.

Wat is er zo speciaal aan deze phishingaanval?

Zoals we al hebben vermeld, valt deze zwendel op omdat deze op beheerdersaccounts is gericht. Er is echter nog een ding dat het extreem stiekem maakt. Dat zou de infrastructuur van een legitieme organisatie zijn. Met behulp van een legitiem domein kunnen deze oplichters de gebruikelijke e-mailfilters vermijden die spam omleiden naar de map Ongewenst. Wanneer dergelijke berichten de hoofdinbox bereiken, zullen zelfs beheerders ze waarschijnlijk geloofwaardiger vinden.

Een ander interessant punt is dat de beheerders van gecompromitteerde domeinen die worden gebruikt voor deze phishing-aanval de kwaadaardige activiteit niet kunnen opmerken. Uit het onderzoek blijkt dat oplichters nieuwe accounts maken op de getroffen domeinen om spam te verzenden, en dus geen legitieme accountgebruikers de uitgaande e-mail opmerken. Het zijn niet de e-mailaccounts die worden uitgebuit, maar het domein zelf.

Phishingaanvallen voorkomen

Beveiligingsspecialisten beweren dat iedereen op zijn hoede moet zijn voor dergelijke phishing-aanvallen omdat het op dit moment niet lijkt te zijn gericht op een specifieke onderneming of sector. Beheerders moeten op hun hoede zijn voor e-mails met onderwerpregels als "Re: actie vereist!" Of "Re: we hebben uw account geblokkeerd."

In plaats van op de URL's in het bericht te klikken, wordt een beheerder geadviseerd onmiddellijk contact op te nemen met hun IT-afdeling. Uw onderneming kan verschillende methoden hebben om dergelijke e-mailincidenten tegen te gaan, maar dubbele controle van de e-mailinhoud is altijd een goed uitgangspunt.

Microsoft biedt deze richtlijnen die u zouden moeten helpen Office 365-bescherming tegen phishingaanvallen te verbeteren.

Hoe Office 365-bescherming te verbeteren

  1. Ga naar het beheercentrum en selecteer Beveiliging .
  2. Ga naar Bedreigingsbeheer , kies Beleid en ga naar ATP Anti-phishing .
  3. Kies Standaardbeleid en selecteer Bewerken in het gedeelte Imitatie .
  4. Open Domeinen toevoegen om te beschermen en selecteer om uw domeinen automatisch op te nemen.
  5. Open Actie , klik op de vervolgkeuzelijst Als e - mail wordt verzonden door een geïmiteerde gebruiker .
  6. Selecteer de gewenste actie en kies Veiligheidstips voor nabootsing inschakelen .
  7. Kies de gewenste tips en klik op Opslaan .
  8. Ga naar Mailbox-intelligentie en zorg ervoor dat deze is ingeschakeld .
  9. Selecteer Vertrouwde afzenders en domeinen toevoegen om betrouwbare domeinen en e-mailadressen toe te voegen.
  10. Ga naar Controleer uw instellingen en klik op Opslaan .
  11. Druk op Sluiten en verlaat het menu.

Afgezien van het gebruik van de meest elementaire beveiligingsmaatregelen, wordt het altijd ten zeerste aanbevolen om de reguliere gebruikers voortdurend te herinneren aan de gevaren van phishing-aanvallen. Soms kan een serieus probleem beginnen met één verdwaalde phishing-e-mail waar een afleidende gebruiker mee omgaat zonder na te denken.

Beheerders moeten overwegen gebruikers te informeren over het belang van sterke wachtwoorden en multi-factor authenticatie. Wachtwoordbeheerders worden ook sterk aanbevolen, en als u wilt weten hoe dat werkt, kunt u het zelf zien door op de oranje GRATIS 30-daagse proefknop aan de rechterkant te klikken.

February 6, 2020

Laat een antwoord achter