Phishers online estão perseguindo contas de administrador do Microsoft Office 365 usando esse golpe inteligente

Se sua organização usa o Office 365, você provavelmente já viu e-mails de phishing direcionados à sua comunidade. No entanto, uma coisa é quando os ataques de phishing são direcionados a usuários comuns e é uma história completamente diferente quando os criminosos apontam para a conta de administrador do Microsoft Office 365. Afinal, se uma conta de administrador for comprometida, as repercussões também poderão atingir outros usuários em diferentes níveis.

Usaremos esta entrada de blog para informar mais sobre o roubo de credenciais do Office 365 e seguiremos as diretrizes de proteção anti-phishing oferecidas pela Microsoft. Embora as configurações recomendadas pela empresa sejam apenas o primeiro passo para um ambiente virtual seguro, essa etapa é crucial se você deseja proteger seu sistema.

O ataque de phishing contra contas de administrador do Microsoft Office 365

As tentativas de comprometer as contas do Office 365 são realizadas todos os dias. Campanhas maiores de phishing são detectadas por especialistas em segurança, que compartilham essas informações vitais em seus blogs. O ataque de phishing sobre o qual queremos falar foi revelado pela PhishLabs em novembro de 2019.

Segundo o relatório, os emails maliciosos foram entregues em várias contas de administrador do Microsoft Office 365. Esses e-mails foram chamados de "iscas de phishing" porque sua intenção era convencer os administradores a fornecer informações confidenciais.

Embora seja bastante comum que usuários comuns sejam enganados a doar suas credenciais pessoais, seria de esperar que os administradores de sistema sejam muito mais cuidadosos com isso. Aparentemente, também era o que os atores da ameaça pensavam, porque os e-mails de atração de phishing se disfarçavam como notificações oficiais da Microsoft enviadas de vários domínios validados.

O que é um domínio validado? Bem, pense em um domínio que não pareceria suspeito. Por exemplo, se você recebeu um email com as iniciais da universidade em seu nome de domínio, seria mais provável que confiasse nesse email, não é? É exatamente assim que esse golpe funciona: os domínios validados podem não pertencer à Microsoft, mas parecem confiáveis e, portanto, os administradores podem ser atraídos a lamber os links nessas iscas de phishing.

No momento em que clicam no link, no entanto, eles são redirecionados para uma página de logon falsa do Office 365. É parecido com o normal, e se o administrador inserir suas credenciais de login, os criminosos podem roubá-los e usá-lo para acessar o sistema. Desnecessário dizer que um ataque de phishing no nível de administrador gera muito mais preocupações de segurança.

De acordo com o relatório da PhishLabs, dependendo da configuração do Office 365, a conta de administrador comprometida também pode permitir que os cibercriminosos assumam outras contas de email no domínio. Sem mencionar que, às vezes, os privilégios de administrador permitem redefinir senhas esquecidas e configurar preferências de logon único. Portanto, se uma conta de administrador for comprometida, todo o sistema poderá estar em risco de roubo grave de dados.

Além de roubar as informações por meio desse ataque de phishing, os hackers podem criar novas contas no domínio comprometido. Além disso, uma vez que os criminosos têm um determinado domínio na ponta dos dedos, eles podem usar os recursos do domínio para enviar mais iscas de phishing para outros sistemas. Assim, um círculo vicioso de ataques de phishing nunca termina. De fato, o fato de alguém receber essas iscas de phishing prova que alguns domínios já foram comprometidos. E isso nos leva a outro ponto.

O que há de tão especial nesse ataque de phishing?

Como já mencionamos, esse golpe se destaca por ter como alvo contas de administrador. No entanto, há mais uma coisa que a torna extremamente sorrateira. Isso seria usar a infraestrutura de uma organização legítima. O uso de um domínio legítimo permite que esses golpistas evitem os filtros de email comuns que redirecionam spam para a pasta Lixo eletrônico. Além disso, quando essas mensagens chegam à caixa de entrada principal, é mais provável que os administradores as considerem críveis.

Outro ponto interessante é que os administradores de domínios comprometidos usados para esse ataque de phishing não podem perceber a atividade maliciosa. A pesquisa mostra que os golpistas criam novas contas nos domínios afetados para enviar spam e, portanto, nenhum usuário legítimo da conta percebe o e-mail enviado. Não são as contas de email que são exploradas, mas o próprio domínio.

Como evitar ataques de phishing

Os especialistas em segurança argumentam que todos devem ter cuidado com esses ataques de phishing, porque não parece que uma empresa ou setor específico esteja sendo alvo no momento. Os administradores só devem ter cuidado com os e-mails que acompanham assuntos como "Re: ação necessária!" Ou "Re: colocamos uma retenção em sua conta".

Em vez de clicar nos URLs da mensagem, um administrador é aconselhado a entrar em contato com o departamento de TI imediatamente. Sua empresa pode ter vários métodos para combater esses incidentes de email, mas verificar o conteúdo do email sempre é um bom ponto de partida.

A Microsoft oferece essas diretrizes que devem ajudá-lo a aprimorar a proteção do Office 365 contra ataques de phishing.

Como aprimorar a proteção do Office 365

  1. Acesse o centro de administração e selecione Segurança .
  2. Vá para Gerenciamento de ameaças , escolha Política e vá para ATP Anti-phishing .
  3. Escolha Política Padrão e selecione Editar na seção Representação .
  4. Abra Adicionar domínios para proteger e selecione para incluir automaticamente seus domínios.
  5. Abra Ação , clique no menu suspenso Se o email for enviado por um usuário representado .
  6. Selecione a ação desejada e escolha Ativar dicas de segurança de representação.
  7. Escolha as dicas que você deseja e clique em Salvar .
  8. Vá para o Mailbox Intelligence e verifique se está ativado .
  9. Selecione Adicionar remetentes e domínios confiáveis para adicionar domínios e endereços de email confiáveis.
  10. Vá para Revisar suas configurações e clique em Salvar .
  11. Pressione Fechar e saia do menu.

Além de empregar as medidas de segurança mais básicas, é sempre altamente recomendável lembrar constantemente os usuários regulares dos perigos por trás dos ataques de phishing. Às vezes, um problema sério pode começar com um e-mail de phishing perdido com o qual um usuário distraído interage sem pensar duas vezes.

Os administradores devem considerar educar os usuários sobre a importância de senhas fortes e autenticação multifator. Os gerenciadores de senhas também são altamente recomendados e, se você quiser saber como isso funciona, poderá ver por si mesmo clicando no botão laranja de avaliação gratuita de 30 dias à direita.

February 6, 2020

Deixe uma Resposta