Neue Microsoft Dynamics 365 Phishing-Kampagne umgeht die Multi-Faktor-Authentifizierung - All Things IT

Eine neue Phishing-Kampagne in großem Maßstab nutzt aktiv die microsoft Dynamics 365-Kunden-Voice-Wechsel-Wenden. Multi-Faktor-Authentifizierung (MFA). Der Angriff stellt eine bedeutende Bedrohung für die große Anzahl von Organisationen global dar, die sich auf Microsoft 365 und Dynamics 365 für Geschäftsbetriebe verlassen. In dieser Kampagne wird festgestellt, dass sie kompromittierte Konten zum Senden von E-Mails mit gefälschten Dynamics 365 Kunden Sprachlinks nutzen. Die E-Mails werden so gestaltet, dass sie legitim erscheinen und häufig auf finanzielle Themen wie Abrechnungserklärungen oder Zahlungsinformationen konzentriert werden. Die Kampagne hat bereits über 3.370 E-Mails eingesetzt, die Mitarbeiter in mehr als 350 Organisationen, hauptsächlich in den USA, erreicht und über eine Million Postfächer abzielt. Die Benutzer werden zunächst auf einen Captcha-Test geleitet, eine Taktik, die ein Hauch von Authentizität verleihen soll. Anschließend werden die Opfer an eine Phishing-Site geschickt, um eine Microsoft-Anmeldeseite nachzuahmen, auf der Angreifer versuchen, Anmeldeinformationen zu stehlen. Erfolgreiche Angriffe erteilen Cyberkriminelle nicht autorisierter Zugriff auf vertrauliche Informationen und Systeme, die möglicherweise zu manipulierten internen Konten, Diebstahl von Geldern und operativen Störungen führen. > Ausnutzung vertrauenswürdiger Microsoft Services

Die Klugheit dieser Methode liegt in ihrer Vertrauensnutzung. Es stützt sich auf die Vertrautheit des Empfängers mit regelmäßigen Unternehmenskommunikation mit Microsoft-Branded-Diensten, wodurch die betrügerischen E-Mails schwierig sind, von der legitimen Korrespondenz zu unterscheiden. Angreifer nutzen legitime Verbindungen von Microsoft-Benachrichtigungen als Teil der Angriffskette.

Diese Technik, die legitime Websites nutzt, um über Sicherheitsscanner vorbei zu kommen, wird von den Check-Point-Forschern als „statische Schnellstraße“ bezeichnet. Solche Angriffe sind für Sicherheitsdienste unglaublich schwierig, um die Benutzer zu erkennen und noch schwieriger zu identifizieren. Der Check Point besagt, dass”Benutzer zuerst auf eine legitime Seite gerichtet sind. Wenn Sie die URL im E-Mail-Körper so schweben, bietet sie keinen Schutz.”Der Phishing-Link leitet Benutzer häufig über mehrere Zwischenseiten weiter, bevor sie auf der endgültigen Phishing-Seite landen. Dynamics 365-Formulare verwenden legitime SSL-Zertifikate wie die von https://forms.office.com oder https://yourcompanyname.dynamics.com, die dazu beitragen können, die Phisation-Erkennungswerkzeuge zu entgehen, die auf ungültige oder verdächtige Zertifikate achkenden. Multi-Faktor-Authentifizierung. Dies wird häufig durch die Verwendung von ausgeklügeltem Phishing-As-a-Service-Toolkits (PHAAS) erreicht. Intercept-Benutzeranmeldeinformationen und Sitzungscookies, was bedeutet, dass selbst Benutzer mit aktiviertem MFA weiterhin anfällig sein können. Microsoft verfolgt die Entwickler und Distributoren des Dadsec/Phoenix Phishing Kit, bezogen auf Rockstar 2FA,

E-Mail-Kampagnen mit Rockstar 2FA nutzen verschiedene anfängliche Zugriffsvektoren wie URLs, QR-Codes und Dokumentanhänge. Lure-Vorlagen, die mit Rockstar 2FA verwendet werden, reicht von Dateien-Sharing-Benachrichtigungen bis hin zu Anfragen nach E-Signaturen. Angreifer verwenden legitime Link-Umleitungen als Mechanismus, um die Antispam-Erkennung zu umgehen. Sie können Geschäftsangriffe (BEC)-Angriffe oder-Argarten, die von den Angriffen des Unternehmens, oder zu den Angriffen von Frearisex, oder-Anträumen, nachgezogen werden, starten. Angreifer manipulieren auch E-Mail-Einstellungen, um ihre Aktivitäten zu verbergen und Filterregeln zu erstellen, um automatisch Sicherheitsbenachrichtigungen zu löschen. Um die Erkennung zu vermeiden, können sie VPN-Dienste verwenden, sodass ihre Anmeldungen aus dem üblichen Ort des Opfers stammen. Einige böswillige E-Mails haben jedoch möglicherweise noch Posteingänge erreicht, bevor diese Seiten abgenommen wurden. Microsoft vereitelte Betrugsversuche in Höhe von 4 Milliarden US-Dollar, lehnte 49.000 betrügerische Partnerschaftseinschreibungen ab und blockierte laut

microsoft nicht. Akteure, die nach eigenen Produktivitätstools suchen, machen es einfacher und billiger, glaubwürdige Inhalte für Cyberangriffe zu einer zunehmend schnellen Geschwindigkeit zu generieren.”KI-Tools können das Web nach Unternehmensinformationen scannen und kratzen und Cyberangriffer dabei helfen, detaillierte Profile von Mitarbeitern oder anderen Zielen zu erstellen, um hoch überzeugende Social Engineering-Köder zu erstellen. Diese Technik manipuliert das OAuth-Framework von Google, um E-Mails zu senden, die authentisch signiert erscheinen, wobei die DMARC-Überprüfungen umgehen. Es unterstreicht einen umfassenderen Trend, bei dem Angreifer vertrauenswürdige Plattformen und Protokolle missbrauchen, um ihren Betrügern Legitimität zu verleihen. Für Organisationen, die immer noch ADFs verwenden, wird der Übergang zu Microsoft Entra ID empfohlen, da sie mehr phishing-resistente Authentifizierungsmethoden anbietet. Das Schulungstraining für das Sicherheitsbewusstsein sind ebenfalls entscheidende Schritte. Die Mitarbeiter sollten über die Identifizierung von Phishing-Versuchen und die Überprüfung ungewöhnlicher Anmeldungsanfragen mit ihrer IT-Abteilung unterrichtet werden. Der Umzug in Richtung Null-Trust-Sicherheitsrahmen, die eine kontinuierliche Überprüfung erfordern, wird ebenfalls als zukünftiger Standard angesehen.

Categories: IT Info