Μια νέα εκστρατεία ψαρέματος μεγάλης κλίμακας εκμεταλλεύεται ενεργά το Microsoft 365 Customer Voice Έλεγχος επαλήθευσης ταυτότητας (MFA). Η επίθεση αποτελεί σημαντική απειλή για τον τεράστιο αριθμό οργανισμών παγκοσμίως που βασίζονται στη Microsoft 365 και Dynamics 365 για επιχειρηματικές δραστηριότητες. Προσδιόρισε αυτήν την καμπάνια, σημειώνοντας ότι αξιοποιεί τους λογαριασμούς που υποβάλλονται σε συμβιβασμούς για να στείλουν μηνύματα ηλεκτρονικού ταχυδρομείου που περιέχουν ψεύτικες συνδέσμους φωνητικών πελατών 365. Τα μηνύματα ηλεκτρονικού ταχυδρομείου είναι κατασκευασμένα για να εμφανίζονται νόμιμα, συχνά επικεντρωμένα σε οικονομικά θέματα όπως δηλώσεις διακανονισμού ή πληροφορίες πληρωμής. Η εκστρατεία έχει ήδη αναπτύξει πάνω από 3.370 μηνύματα ηλεκτρονικού ταχυδρομείου, φθάνοντας στους υπαλλήλους σε περισσότερους από 350 οργανισμούς, κυρίως στις Ηνωμένες Πολιτείες, και στοχεύοντας πάνω από ένα εκατομμύριο γραμματοκιβώτια. Οι χρήστες κατευθύνονται αρχικά σε μια δοκιμή CAPTCHA, μια τακτική που προορίζεται να δώσει αέρα αυθεντικότητας. Μετά από αυτό, τα θύματα αποστέλλονται σε έναν ιστότοπο ηλεκτρονικού ψαρέματος που έχει σχεδιαστεί για να μιμείται μια σελίδα σύνδεσης της Microsoft, όπου οι επιτιθέμενοι προσπαθούν να κλέψουν τα διαπιστευτήρια. Οι επιτυχημένες επιθέσεις χορηγούν εγκληματίες στον κυβερνοχώρο μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητες πληροφορίες και συστήματα, ενδεχομένως οδηγώντας σε χειρισμένους εσωτερικούς λογαριασμούς, κλοπή κεφαλαίων και επιχειρησιακές διαταραχές. > Εκμεταλλεύοντας αξιόπιστες υπηρεσίες της Microsoft
Η έξυπνη αυτή η μέθοδος έγκειται στην εκμετάλλευση της εμπιστοσύνης. Βασίζεται στην εξοικείωση του παραλήπτη με τις τακτικές επιχειρηματικές επικοινωνίες που περιλαμβάνουν υπηρεσίες με επωνυμία της Microsoft, καθιστώντας τα δόλια μηνύματα ηλεκτρονικού ταχυδρομείου δύσκολο να διακριθούν από τη νόμιμη αλληλογραφία. Οι επιτιθέμενοι αξιοποιούν τους νόμιμους δεσμούς από τις ειδοποιήσεις της Microsoft ως μέρος της αλυσίδας επίθεσης. Αυτή η τεχνική, η οποία αξιοποιεί τους νόμιμους ιστότοπους για να περάσουν οι σαρωτές ασφαλείας, αναφέρεται ως «ο στατικός δρόμος» από τους ερευνητές του σημείου ελέγχου. Τέτοιες επιθέσεις είναι απίστευτα δύσκολες για τις υπηρεσίες ασφαλείας να ανιχνεύουν και ακόμη πιο δύσκολο για τους χρήστες να εντοπίσουν. Ο σύνδεσμος ψαρέματος συχνά δεν εμφανίζεται μέχρι το τελικό βήμα. Το σημείο ελέγχου λέει ότι”οι χρήστες κατευθύνονται αρχικά σε μια νόμιμη σελίδα-έτσι αιωρούνται πάνω από τη διεύθυνση URL στο σώμα ηλεκτρονικού ταχυδρομείου δεν θα παρέχουν προστασία”. Ο σύνδεσμος ηλεκτρονικού ψαρέματος συχνά ανακατευθύνει τους χρήστες μέσω αρκετών ενδιάμεσων σελίδων προτού προσγειωθούν στην τελική σελίδα ηλεκτρονικού ψαρέματος. Τα έντυπα Dynamics 365 χρησιμοποιούν νόμιμα πιστοποιητικά SSL, όπως αυτά από τα https://forms.office.com ή https://yourcompanymamame.dynamics.com, που μπορεί να βοηθήσει να αποφύγει τα εργαλεία ανίχνευσης phishing που ελέγχουν τα άκρα ή τα ύποπτα πιστοποιητικά. Έλεγχος ταυτότητας πολλαπλών παραγόντων. Αυτό επιτυγχάνεται συχνά μέσω της χρήσης των εξελιγμένων εργαλείων phishing-as-a-service (PHAAS). Τα διαπιστευτήρια χρήστη και τα cookies περιόδου σύνδεσης, πράγμα που σημαίνει ότι ακόμη και οι χρήστες με ενεργοποιημένη από MFA μπορούν να είναι ακόμα ευάλωτοι. Η Microsoft παρακολουθεί τους προγραμματιστές και τους διανομείς του κιτ Phishing Dadsec/Phoenix, που σχετίζεται με το rockstar 2fa,
καμπάνιες ηλεκτρονικού ταχυδρομείου χρησιμοποιώντας το rockstar 2fa εκμετάλλευση ποικίλων αρχικών φορέων πρόσβασης, όπως οι διευθύνσεις URL, οι κωδικοί QR και τα συνημμένα εγγράφων. Τα πρότυπα Lure που χρησιμοποιούνται με το Rockstar 2FA κυμαίνονται από ειδοποιήσεις κοινής χρήσης αρχείων σε αιτήματα για ηλεκτρονικές υπογραφές. Οι επιτιθέμενοι χρησιμοποιούν τους νόμιμους ανακατευθυνόμενους συνδέσμους ως μηχανισμό για την παράκαμψη της ανίχνευσης αντισπασμάτων. Μπορούν να ξεκινήσουν Επιχειρηματικές συμβιβασμούς (BEC) επιθέσεις . Οι επιτιθέμενοι χειρίζονται επίσης τις ρυθμίσεις ηλεκτρονικού ταχυδρομείου για να αποκρύψουν τη δραστηριότητά τους, δημιουργώντας κανόνες φιλτραρίσματος για την αυτόματη διαγραφή ειδοποιήσεων ασφαλείας. Για να αποφευχθεί η ανίχνευση, μπορούν να χρησιμοποιήσουν τις υπηρεσίες VPN, καθιστώντας τις συνδέσεις τους να προέρχονται από τη συνήθη θέση του θύματος. Ωστόσο, ορισμένα κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου ενδέχεται να έχουν φτάσει ακόμα τα εισερχόμενα πριν από τη λήψη αυτών των σελίδων. Η Microsoft κατέστρεψε 49.000 δόλες εγγραφές εταιρικών σχέσεων και μπλοκάρει περίπου 1,6 εκατομμύρια προσπάθειες εγγραφής ανά ώρα μεταξύ Απριλίου 2024 και Απριλίου 2025, σύμφωνα με το Τον Ιανουάριο του 2025 απαιτούν από τις ομάδες προϊόντων να εκτελούν αξιολογήσεις πρόληψης απάτης και να εφαρμόζουν ελέγχους απάτης ως μέρος της διαδικασίας σχεδιασμού τους όπως σημειώνεται στην ανάρτησή τους στο blog. Νωρίτερα φέτος, παρατηρήθηκε ξεχωριστή επίθεση μαζικής ηλεκτρονικής ψαρέματος που παρατηρήθηκε από τις πύλες σύνδεσης της Microsoft ADFS για να καταργήσουν τους λογαριασμούς ηλεκτρονικού ταχυδρομείου των επιχειρήσεων, αποδεικνύοντας ότι τα συστήματα ελέγχου ταυτότητας της Microsoft βρίσκονται σε εξέλιξη. Η μετατόπιση προς την πιστοποιητική κλοπή με βάση το phishing ευθυγραμμίζεται με μια ευρύτερη τάση στις σύγχρονες κυβερνοεπιχειρήσεις. Το ευρύτερο τοπίο της ασφάλειας στον κυβερνοχώρο δείχνει ότι οι επιτιθέμενοι που βασίζονται όλο και περισσότερο στη νόμιμη υποδομή σύννεφων για να βελτιώσουν τις επιτυχίες τους. Η ποιότητα και η εξατομίκευση των ψευδών μηνυμάτων ηλεκτρονικού ταχυδρομείου σύμφωνα με μια ανάλυση Netskope. Οι κρατικές ομάδες hacking χρησιμοποιούν επίσης AI για να βελτιώσουν τις επιχειρήσεις στον κυβερνοχώρο, συμπεριλαμβανομένου του ηλεκτρονικού”ψαρέματος”και της αναγνώρισης, αν και η AI δεν έχει δημιουργήσει ακόμη θεμελιωδώς νέες μεθόδους επίθεσης.
Categories: IT Info