Phisherzy internetowi szukają kont administratorów Microsoft Office 365 przy użyciu tego sprytnego oszustwa

Jeśli Twoja organizacja korzysta z Office 365, prawdopodobnie widziałeś już wiadomości e-mail typu phishing, które są kierowane do Twojej społeczności. Jest jednak jedna rzecz, gdy ataki phishingowe są wymierzone w zwykłych użytkowników, i to zupełnie inna historia, gdy przestępcy dążą do konta administratora Microsoft Office 365. W końcu, jeśli konto administratora zostanie przejęte, konsekwencje mogą dotrzeć do innych użytkowników również na różnych poziomach.

Użyjemy tego wpisu na blogu, aby przekazać Ci więcej informacji na temat kradzieży poświadczeń Office 365, a następnie przejrzymy wytyczne dotyczące ochrony przed phishingiem oferowane przez Microsoft. Chociaż ustawienia zalecane przez firmę to tylko pierwszy krok w kierunku bezpiecznego środowiska wirtualnego, podjęcie tego kroku jest kluczowe, jeśli chcesz chronić swój system.

Atak typu „phishing” na konta administratora Microsoft Office 365

Próby włamania na konta Office 365 są przeprowadzane każdego dnia. Większe kampanie phishingowe są wykrywane przez specjalistów ds. Bezpieczeństwa, którzy dzielą się tymi ważnymi informacjami na swoich blogach. Atak phishingowy, o którym chcemy porozmawiać, został po raz pierwszy ujawniony przez PhishLabs w listopadzie 2019 r.

Według raportu złośliwe wiadomości e-mail zostały dostarczone na wiele kont administratora Microsoft Office 365. Te e-maile zostały nazwane „przynętami typu phishing”, ponieważ ich celem było zwabienie administratorów do ujawnienia poufnych informacji.

Podczas gdy zwykli użytkownicy są często oszukiwani w podawaniu swoich osobistych danych uwierzytelniających, można oczekiwać, że administratorzy systemu są o wiele bardziej ostrożni. Najwyraźniej tak też myśleli gracze, ponieważ wiadomości e-mail z przynętą phishingową są maskowane jako oficjalne powiadomienia od Microsoft wysłane z różnych zweryfikowanych domen.

Co to jest zweryfikowana domena? Pomyśl o domenie, która wcale nie wyglądałaby podejrzanie. Na przykład, jeśli otrzymałeś wiadomość e-mail z inicjałami uczelni w nazwie domeny, bardziej prawdopodobne byłoby, że zaufasz temu e-mailowi, prawda? Dokładnie tak działa ten oszustwo: sprawdzone domeny mogą nie należeć do firmy Microsoft, ale wyglądają na niezawodne, a zatem administratorzy mogą zostać zwabieni do lizania linków w tych przynętach phishingowych.

Jednak po kliknięciu łącza następuje przekierowanie do fałszywej strony logowania do Office 365. Wygląda jak zwykły, a jeśli administrator wprowadzi swoje dane logowania, oszuści mogą je ukraść i użyć do uzyskania dostępu do systemu. Nie trzeba dodawać, że atak phishingowy na poziomie administratora wywołuje znacznie więcej problemów związanych z bezpieczeństwem.

Według raportu PhishLabs, w zależności od konfiguracji Office 365, przejęte konto administratora może pozwolić cyberprzestępcom na przejęcie innych kont e-mail w domenie. Nie wspominając o tym, że czasami uprawnienia administratora pozwalają resetować zapomniane hasła i konfigurować preferencje pojedynczego logowania. W związku z tym, jeśli konto administratora zostanie przejęte, cały system może być zagrożony poważną kradzieżą danych.

Oprócz kradzieży informacji podczas tego ataku phishingowego hakerzy mogą tworzyć nowe konta w zaatakowanej domenie. Ponadto, gdy przestępcy będą mieli pod ręką określoną domenę, mogą wykorzystać zasoby tej domeny, aby wysłać więcej przynęt phishingowych do innych systemów. W ten sposób błędne koło ataków phishingowych nigdy się nie kończy. W rzeczywistości fakt, że ktoś otrzymuje te przynęty phishingowe, po prostu dowodzi, że niektóre domeny zostały już zagrożone. To prowadzi nas do innego punktu.

Co jest takiego specjalnego w tym ataku phishingowym?

Jak już wspomnieliśmy, to oszustwo wyróżnia się, ponieważ atakuje konta administracyjne. Jest jednak jeszcze jedna rzecz, która sprawia, że jest wyjątkowo podstępny. Wykorzystałoby to infrastrukturę legalnej organizacji. Użycie legalnej domeny pozwala tym oszustom uniknąć unikania zwykłych filtrów e-mail, które przekierowują spam do folderu śmieci. Ponadto, gdy takie wiadomości docierają do głównej skrzynki odbiorczej, nawet administratorzy są bardziej skłonni uznać je za wiarygodne.

Inną interesującą kwestią jest to, że administratorzy zainfekowanych domen wykorzystywanych w tym ataku phishingowym nie zauważają złośliwej aktywności. Badanie pokazuje, że oszuści tworzą nowe konta w domenach, których dotyczy problem, w celu wysyłania spamu, a zatem żaden legalny użytkownik konta nie zauważa poczty wychodzącej. Wykorzystywane są nie konta e-mail, ale sama domena.

Jak uniknąć ataków phishingowych

Specjaliści od bezpieczeństwa twierdzą, że wszyscy powinni być ostrożni wobec takich ataków phishingowych, ponieważ nie wydaje się, aby w tym momencie atakowało jedno konkretne przedsiębiorstwo lub branżę. Administratorzy muszą tylko uważać na wiadomości e-mail zawierające takie tematy, jak „Re: Wymagane działanie!” Lub „Re: Zawiesiliśmy blokadę na Twoim koncie”.

Zamiast klikać adresy URL w wiadomości, administrator powinien natychmiast skontaktować się z działem IT. Twoje przedsiębiorstwo może mieć różne metody przeciwdziałania takim incydentom związanym z pocztą e-mail, ale podwójne sprawdzenie zawartości wiadomości e-mail jest zawsze dobrym punktem wyjścia.

Microsoft oferuje te wytyczne, które powinny pomóc ci zwiększyć ochronę Office 365 przed atakami phishingowymi.

Jak zwiększyć ochronę Office 365

  1. Uzyskaj dostęp do centrum administracyjnego i wybierz Zabezpieczenia .
  2. Przejdź do Zarządzanie zagrożeniami , wybierz Zasady i przejdź do ATP Anti-phishing .
  3. Wybierz Domyślne zasady i wybierz Edytuj w sekcji Personifikacja .
  4. Otwórz Dodaj domeny, aby chronić i wybierz, aby automatycznie dołączyć domeny.
  5. Otwórz akcję , kliknij menu rozwijane Jeśli wiadomość e - mail jest wysyłana przez podszywającego się użytkownika .
  6. Wybierz akcję, którą chcesz, i wybierz Włącz wskazówki dotyczące bezpieczeństwa podszywania się.
  7. Wybierz odpowiednie porady i kliknij Zapisz .
  8. Przejdź do inteligencji skrzynki pocztowej i upewnij się, że jest włączona .
  9. Wybierz Dodaj zaufanych nadawców i domeny, aby dodać wiarygodne domeny i adresy e-mail.
  10. Przejdź do Przejrzyj swoje ustawienia i kliknij Zapisz .
  11. Naciśnij Zamknij i wyjdź z menu.

Oprócz stosowania najbardziej podstawowych środków bezpieczeństwa, zawsze zaleca się stałe przypominanie zwykłym użytkownikom o zagrożeniach związanych z atakami typu phishing. Czasami poważny problem może rozpocząć się od jednego bezpańskiego e-maila phishingowego, z którym rozproszony użytkownik wchodzi w interakcję bez zastanowienia.

Administratorzy powinni rozważyć edukację użytkowników na temat znaczenia silnych haseł i uwierzytelniania wieloskładnikowego. Zalecamy również menedżerów haseł, a jeśli chcesz wiedzieć, jak to działa, możesz to zobaczyć, klikając pomarańczowy DARMOWY 30-dniowy okres próbny po prawej stronie.

February 6, 2020

Zostaw odpowiedź