Microsoft夺取了使用COVID-19骗局劫持Office 365帐户的6个域
在2019年12月,一群网络犯罪分子针对全球62个国家/地区的组织发起了一场聪明的网络钓鱼活动。他们的目标是劫持一些Office 365帐户并获得对从联系人列表到敏感文件的所有访问。微软注意到了这次攻击,并采取了行动来保护其客户。这场运动最初被停止了,但是不幸的是,这些措施仅持续了很短的时间,黑客又发起了另一波攻击。
不论是否令人惊讶,Microsoft再次采取了行动,在确定了竞选期间使用的某些域之后,它提出了法律诉讼并要求对其进行控制。根据ZDNet周二发布的法院文件,该软件巨头现在控制着六个域,直到最近才属于骗子。
这绝对是个好消息,但让我们看看法院的判决是否将永远结束犯罪分子的袭击。
COVID-19网络钓鱼诈骗针对Office 365用户
该骗局始于社交电子邮件。这些消息表明组织的员工或受信任的合作伙伴正在共享Office 365文档,最初,目标是使他们认为,通过单击电子邮件中的链接,他们会看到类似季度财务报告的内容。然而,在冠状病毒大流行中,黑客开始将其恶意链接伪装成与COVID-19相关的业务文档。
就像您想象的那样,电子邮件中的链接没有指向任何描述的Office 365文档。根据ZDNet的说法,它首先将用户发送到Microsoft的合法登录表单,并在成功进行身份验证后将其重定向到一个被占领的域中。
钓鱼攻击
攻击者的最终目标是接管目标的Office 365帐户,但奇怪的是,他们没有借助登录凭据来做到这一点。相反,他们通过托管在Microsoft现在拥有的域上的恶意Office 365应用程序来做到这一点。
在某些组织中有效使用Office 365取决于各种可改善服务功能或安全性的应用程序,用户将它们连接到其帐户并不陌生。所有Office 365应用程序都必须先请求权限,然后才能连接到用户的帐户,骗子的恶意应用程序也不例外。由应用程序设计创造的合法性愚弄了,陷入骗局的受害者使网络犯罪分子或多或少地无限制地访问其电子邮件,文件,联系人列表和设置。他们做到了,却没有公开密码。
这是一种复杂的企业电子邮件妥协(BEC)攻击,甚至很难想象它可能要花多少钱。恶意域名的没收意味着这些应用程序不再处于活动状态,并且该活动暂时已经停止,但是不幸的是,我们正在努力寻找什么可能阻止网络犯罪分子随时注册新域名并重新努力。
恶意Office 365应用代表一种不寻常且相对较新的攻击媒介,并且如您所见,它可能是无情的。使用Microsoft服务的企业和组织不应低估它,而必须尽快将其纳入其威胁模型。