Hackeri našli spôsob, ako ti do schránky prepašovať podvodnú správu. Vyzerá neuveriteľne dôveryhodne, nachytať sa môže každý
Hackeri zneužívajú Microsoft 365 na sofistikované phishingové útoky, ktoré obchádzajú tradičné bezpečnostné mechanizmy a pôsobia dôveryhodne.
Moderné phishingové kampane sa neustále vyvíjajú, aby dokázali obísť najpokročilejšie bezpečnostné mechanizmy. Nedávno sa objavila nová sofistikovaná technika, ktorá využíva infraštruktúru Microsoft 365 na šírenie podvodných e-mailov, pričom zneužíva dôveryhodnosť tejto platformy. Na problematiku upozorňujú experti z guardz.com.
Využitie Microsoft 365 na phishingové útoky
Útočníci pri tejto kampani nevyužívajú tradičné metódy, ako sú falošné domény alebo e-mailové adresy. Namiesto toho pracujú priamo v rámci ekosystému Microsoftu, kde zakladajú vlastné organizácie a manipulujú s ich nastaveniami tak, aby ich podvodné správy vyzerali úplne legitímne. Vďaka tomu dokážu obísť bežné ochranné opatrenia, ako sú kontroly doménovej reputácie či bezpečnostné politiky založené na SPF, DKIM a DMARC.
Kampaň začína tým, že útočníci získajú kontrolu nad viacerými Microsoft 365 organizáciami. Môžu ich buď vytvoriť ako nové organizácie, alebo zneužiť už existujúce. Každá organizácia plní špecifickú úlohu v celom procese útoku.
Jedna je zameraná na vykonávanie falošných transakcií, ďalšia slúži na presmerovanie e-mailov a ďalšia na imitovanie známych značiek. Týmto spôsobom dokážu vytvárať podvodné správy, ktoré sa na prvý pohľad nelíšia od legitímnych upozornení od Microsoftu.
Keď majú útočníci potrebnú infraštruktúru, začnú manipulovať s nastaveniami svojich organizácií. Vytvárajú administrátorské účty s predvolenou doménou „*.onmicrosoft.com“, čím sa vyhýbajú kontrole, ktorá je zvyčajne zameraná na podozrivé aktivity v rámci firemných domén. Zároveň nastavujú pravidlá na presmerovanie e-mailov tak, aby mohli filtrovať dôležité správy, vrátane potvrdení o predplatnom a faktúr.
Neprehliadni
Zneužitie názvu organizácie
Jedným z hlavných nástrojov, ktoré útočníci využívajú, je manipulácia s názvom organizácie v Microsoft 365. Namiesto skutočného názvu nastavujú text, ktorý pripomína urgentné finančné upozornenie. Príkladom môže byť hlásenie o údajnej platbe za predplatné Microsoft 365 vo výške 689,89 USD spolu s inštrukciou na kontaktovanie falošnej zákazníckej podpory. Keďže tento text je súčasťou oficiálnej e-mailovej hlavičky, používateľ ho vidí ako súčasť správy, ktorú dostáva priamo od Microsoftu.
Priebeh phishingového útoku
Obeť tak dostane e-mail, ktorý sa nijako nelíši od bežných notifikácií od Microsoftu. Správa obsahuje autentický odosielateľský e-mail, platné bezpečnostné podpisy a prechádza cez servery Microsoftu. Na prvý pohľad preto neexistuje dôvod na podozrenie. Po otvorení si používateľ prečíta urgentné hlásenie a je vyzvaný, aby zavolal na uvedené číslo. Práve tu prichádza k najdôležitejšiemu momentu celého podvodu, obeť sa dostane na linku so zločincami, ktorí predstierajú, že sú podpora Microsoftu.
Keď obeť zavolá, podvodníci ju presvedčia, že skutočne došlo k neoprávnenej platbe, a ponúknu jej okamžitú pomoc. Často požadujú prístup na vzdialenú správu počítača alebo inštaláciu softvéru, ktorý údajne pomôže problém vyriešiť. V skutočnosti však ide o malvér alebo nástroj na krádež údajov. V niektorých prípadoch obeť priamo presvedčia, aby im nadiktovala svoje prihlasovacie údaje či údaje o platobnej karte.
Prečo je táto metóda nebezpečná
Táto metóda je mimoriadne účinná, pretože obchádza všetky tradičné bezpečnostné mechanizmy. Phishingová správa prechádza priamo cez Microsoftove servery, čo znamená, že ju e-mailové filtre neoznačia ako podozrivú. Zároveň vyvoláva silnú emocionálnu reakciu, keďže sa týka neoprávnenej platby, čo zvyšuje šancu, že obeť okamžite reaguje bez dôkladného preverenia informácií.
Útočníci sa týmto spôsobom vyhýbajú aj tradičným metódam detekcie podvodných e-mailov. Nevyužívajú škodlivé odkazy ani prílohy, ktoré by mohli byť zablokované bezpečnostnými systémami. Namiesto toho sa spoliehajú na ľudský faktor a jeho prirodzenú tendenciu dôverovať správam prichádzajúcim z dôveryhodných zdrojov. Práve preto je tento typ phishingu mimoriadne nebezpečný a efektívny.
Komentáre