Online-phishers kommer efter Microsoft Office 365-administratörskonton med denna smarta bedrägeri

Om din organisation använder Office 365 har du förmodligen sett phishing-e-postmeddelanden som är inriktade på din community nu. Det är emellertid en sak när phishing-attacker riktar sig till vanliga användare, och det är en helt annan historia när brottslingar syftar till Microsoft Office 365-administratörskonto. När allt kommer omkring ett administratörskonto kan återverkningarna nå andra användare på olika nivåer också.

Vi kommer att använda detta blogginlägg för att berätta mer om Office 365-legitimationsstöld, och sedan kommer vi att gå igenom riktlinjerna för skydd mot nätfiske som Microsoft erbjuder. Även om de inställningar som rekommenderas av företaget bara är det första steget mot en säker virtuell miljö, är det viktigt att ta det steget om du vill skydda ditt system.

Phishing-attacken mot Microsoft Office 365-administratörskonton

Försöken att kompromissa med Office 365-konton genomförs varje dag. Större phishing-kampanjer upptäcks av säkerhetsspecialister som delar denna viktiga information på sina bloggar. Phishing-attacken som vi vill prata om avslöjades först av PhishLabs i november 2019.

Enligt rapporten levererades de skadliga e-postmeddelandena till flera Microsoft Office 365-administratörskonton. Dessa e-postmeddelanden kallades "phishing lokkar" eftersom deras avsikt var att locka administratörerna till att ge bort känslig information.

Även om det är ganska vanligt att vanliga användare luras att ge bort sina personliga referenser, kan man förvänta sig att systemadministratörer är mycket mer försiktiga med det. Tydligen var det också vad hotaktörerna tyckte också eftersom e-posten med nätfiske lockade sig till officiella meddelanden från Microsoft skickade från olika validerade domäner.

Vad är en validerad domän? Tänk på en domän som inte ser misstänkt ut alls. Om du till exempel fick ett e-postmeddelande med universitets initialer i dess domännamn, skulle du vara mer benägna att lita på det e-postmeddelandet, eller hur? Det här är exakt hur denna bedrägeri fungerar: de validerade domänerna tillhör kanske inte Microsoft, men de ser pålitliga ut, och därmed kan administratörer lockas till att slicka länkarna i dessa phishing-lockar.

I det ögonblick de klickar på länken omdirigeras de dock till en falsk inloggningssida för Office 365. Det ser ut som det vanliga, och om administratören anger sina inloggningsuppgifter kan skurkarna stjäla dem och använda det för att komma åt systemet. Naturligtvis väcker en phishing-attack på administratörsnivå mycket mer säkerhetsproblem.

Enligt rapporten från PhishLabs, beroende på Office 365-konfigurationen, kan det komprometterade administratörskontot också tillåta cyberkriminella att ta över andra e-postkonton inom domänen. För att inte nämna att administratörsbehörigheter ibland tillåter dem att återställa glömda lösenord och konfigurera inställningar för enskilt inloggning. Därför, om ett administratörskonto äventyras kan hela systemet vara i fara för allvarlig datastöld.

Förutom att stjäla informationen genom denna phishing-attack kan hackare skapa nya konton på den komprometterade domänen. När kriminella har en viss domän under fingertopparna kan de också använda domänens resurser för att skicka ut fler phishing-lock till andra system. Således slutar aldrig en ond cirkel av phishing-attacker. Faktum är att det faktum att någon tar emot dessa phishing-lockar bara bevisar att vissa domäner redan har äventyrats. Och detta leder oss till en annan punkt.

Vad är så speciellt med den här phishingattacken?

Som vi redan nämnt skiljer sig denna bluff eftersom den riktar sig till administratörskonton. Det finns dock en sak till som gör det extremt smygigt. Det skulle vara att använda en legitim organisations infrastruktur. Genom att använda en legitim domän kan dessa svindlare undvika de vanliga e-postfiltrarna som omdirigerar skräppost till mappen Skräp. När sådana meddelanden når huvudinkorgen är det även troligt att administratörer finner dem trovärda.

En annan intressant punkt är att administratörer av komprometterade domäner som används för detta phishing-angrepp inte kan märka den skadliga aktiviteten. Undersökningen visar att svindlare skapar nya konton på de drabbade domänerna för att skicka ut skräppost, så att inga legitima kontoanvändare märker utgående e-post. Det är inte e-postkontona som utnyttjas utan domänen själv.

Hur man undviker nätfiskeattacker

Säkerhetsspecialister hävdar att alla bör vara försiktiga med sådana phishing-attacker eftersom det inte verkar som att ett specifikt företag eller bransch riktas för tillfället. Administratörer måste bara vara försiktiga med e-postmeddelanden som kommer med ämnesrader som "Re: Åtgärd krävs!" Eller "Re: Vi placerade ett stopp på ditt konto."

I stället för att klicka på URL: erna i meddelandet, rekommenderas en administratör att kontakta sin IT-avdelning omedelbart. Ditt företag kan ha olika metoder för att motverka sådana e-posthändelser, men dubbelkontroll av e-postinnehållet är alltid en bra utgångspunkt.

Microsoft erbjuder dessa riktlinjer som bör hjälpa dig att förbättra Office 365-skyddet mot nätfiskeattacker.

Hur du förbättrar Office 365-skyddet

  1. Öppna admincenter och välj Säkerhet .
  2. Gå till hothantering , välj policy och gå till ATP Anti-phishing .
  3. Välj standardpolicy och välj Redigera i avsnittet Impersonation .
  4. Öppna Lägg till domäner för att skydda och välja att automatiskt inkludera dina domäner.
  5. Öppna åtgärd , klicka på rullgardinsmenyn Om e-post skickas av en opersonlig användare .
  6. Välj den åtgärd som du vill och välj Aktivera imitation säkerhetstips.
  7. Välj de tips du vill och klicka på Spara .
  8. Gå till Mailbox-underrättelse och se till att den är .
  9. Välj Lägg till betrodda avsändare och domäner för att lägga till pålitliga domäner och e-postadresser.
  10. Gå till Granska dina inställningar och klicka på Spara .
  11. Tryck på Stäng och stäng menyn.

Bortsett från att använda de mest grundläggande säkerhetsåtgärderna, rekommenderas det alltid starkt att påminna regelbundna användare om farorna bakom phishingattacker. Ibland kan ett allvarligt problem inledas med en vilseledd phishing-e-post som en distraherad användare interagerar med utan någon annan tanke.

Administratörer bör överväga att utbilda användare om vikten av starka lösenord och autentisering med flera faktorer. Lösenordshanterare rekommenderas också starkt, och om du vill veta hur det fungerar kan du se det själv genom att klicka på den orange GRATIS 30-dagars provknappen till höger.

February 6, 2020

Lämna ett svar