Uusi, laajamittainen tietojenkalastelukampanja hyödyntää aktiivisesti Microsoft Dynamics 365-asiakasääni Monitektorien todennus (MFA). Hyökkäys aiheuttaa merkittävän uhan valtavan määrän organisaatioita, jotka luottavat Microsoft 365: een ja Dynamics 365: een yritystoimintaan.
tietoturva-tutkijat osoitteessa
Hyökkäysketjuun sisältyy vastaanottajien houkutteleminen napsauttamaan vääriä linkkejä, jotka väittävät, että he ovat saaneet uuden ääni-tai PDF-asiakirjan. Käyttäjät ohjataan ensin Captcha-testiin, taktiikkaan, jonka tarkoituksena on antaa aitous ilma. Tämän jälkeen uhrit lähetetään tietojenkalastelusivustolle, joka on suunniteltu jäljittelemään Microsoft-kirjautumissivua, jossa hyökkääjät yrittävät varastaa valtakirjat. Onnistuneet hyökkäykset myöntävät tietoverkkorikolliset luvattoman pääsyn arkaluontoisiin tietoihin ja järjestelmiin, mikä johtaa mahdollisesti manipuloituihin sisäisiin tileihin, rahastojen varkauksiin ja operatiivisiin häiriöihin. > Luotettavien Microsoft Services-palvelun hyödyntäminen
Tämän menetelmän taitavuus on sen hyödyntämisessä. Se luottaa vastaanottajan tuntemukseen säännöllisestä yritysviestinnästä, johon liittyy Microsoftin tuotemerkkipalveluita, mikä tekee vilpillisistä sähköposteista vaikeaa erottaa laillisesta kirjeenvaihdosta. Hyökkääjät hyödyntävät Microsoft-ilmoituksista laillisia linkkejä osana hyökkäysketjua. Tätä tekniikkaa, joka hyödyntää laillisia sivustoja päästäkseen ohi turvallisuusskannerit, tarkistavat tutkijat”staattinen moottoritie”. Tällaisia hyökkäyksiä on uskomattoman vaikeaa turvallisuuspalveluiden havaitsemista ja vielä vaikeampaa käyttäjien tunnistamista. Pinishing-linkki ei usein ilmesty viimeisessä vaiheessa. Check Point sanoo:”Käyttäjät ohjataan ensin lailliselle sivulle-joten sähköposti-elimen URL-osoitteen leijuminen ei tarjoa suojaa.”Tietokalastelu-linkki ohjaa usein käyttäjiä useiden välisivujen kautta ennen kuin ne laskeutuvat viimeiselle tietojenkalastelusivulle. hyökkääjät hyödyntävät alustoja, kuten Dynamics 365-markkinointimuotoja, koska ne isännöivät luotettavaa Microsoft-palvelua, mikä tekee niistä vähemmän todennäköistä, että perinteiset turvasuodattimet merkitsee. Dynamics 365-lomakkeet käyttävät laillisia SSL-varmenteita, kuten osoitteita https://forms.office.com tai https://yourcompanyname.dynamics.com, joka voi auttaa kiertämään tietojenkalastelutyökaluja, jotka tarkistavat virheelliset tai epäilyttävät sertifikaatit. Monitektorien todennus. Tämä saavutetaan usein hienostuneiden tietokalupakkien (PHAAS) työkalupakkien ( avulla. Leikkaa käyttäjän valtakirjat ja istunto-evästeet, mikä tarkoittaa, että jopa MFA: n käyttäjät voivat silti olla haavoittuvia. Microsoft seuraa Dadsec/Phoenix-kalastelupakkauksen kehittäjiä ja jakelijoita, jotka liittyvät rockstar 2fa: een, Monikser-myrskyn-1575 . 2FA on saatavana tilausmallin kautta, joka maksaa 200 dollaria kahdesta viikosta tai 350 dollarista kuukaudeksi, alustoilla, kuten ICQ, Telegram ja Mail.Ru, sallimalla tietoverkkorikollisten, joilla on vähän teknistä asiantuntemusta asentaa mittakaavan. havaitsemattomat (FUD) linkit ja sähkön botti-integraatio. Sähköpostikampanjat, joissa käytetään Rockstar 2FA: n hyödyntämistä monipuolisia alkuperäisiä käyttövektoreita, kuten URL-osoitteita, QR-koodeja ja asiakirjojen liitteitä. Rockstar 2FA: n kanssa käytetyt viihtomallit tiedostojenjakoilmoituksista e-allekirjoituspyyntöihin. Hyökkääjät käyttävät laillisia linkkien uudelleenohjaimia mekanismina Anispamin havaitsemisen ohittamiseksi. He voivat käynnistää Business Email Compromise (Bec)-hyökkäykset , improbning-sähköpostien kansainvälisten sähköpostien pyyntöihin. Hyökkääjät manipuloivat myös sähköposti-asetuksia piilottaakseen toiminnan, luomalla suodatussääntöjä turvallisuusilmoitusten automaattisen poistamiseksi. Havaitsemisen välttämiseksi he voivat käyttää VPN-palveluita, jolloin heidän kirjautumisensa näyttävät olevan peräisin uhrin tavanomaisesta sijainnista. Microsoft on ryhtynyt toimiin estäen joitain kampanjassa käytetyistä tietojenkalastelusivuista. Jotkut haitalliset sähköpostit ovat kuitenkin saattaneet saavuttaa postilaatikot ennen näiden sivujen poistamista. Microsoft torjui 4 miljardia dollaria petoksia, hylkäsi 49 000 petollista kumppanuuden ilmoittautumista ja esti noin 1,6 miljoonaa BOT-rekisteröintiyritystä tunnissa huhtikuun 2024 ja huhtikuun 2025 välillä , että kampanja kaappasi myös reaaliaikaisen valtuudet ja MFA-koodit, kuten ADFS: n, kuten ADFS: n, haavoittuvuus. Siirtyminen kohti tietojenkalastelupohjaista valtakirjavarkaus kohdistuu laajempaan trendiin nykyaikaisissa kyberhyökkäyksissä. Vilpillisten sähköpostien laatu ja mukauttaminen NetsKope-analyysin mukaan. Valtion tukemat hakkerointiryhmät käyttävät myös AI: tä tietoverkkooperaatioiden hienosäätöön, mukaan lukien tietojenkalastelu ja tiedustelu, vaikka AI ei ole vielä luonut perustavanlaatuisesti uusia hyökkäysmenetelmiä. Toinen viimeaikainen esimerkki hyökkääjistä, jotka hyödyntävät laillisten tietojenkalastelujärjestelmiä, käsittää Google-sähköpostijärjestelmien huijaamisen uudelleen voimassa olevien DKIM-allekirjoitusten avulla. Tämä tekniikka manipuloi Googlen OAuth-kehystä lähettääksesi sähköposteja, jotka näyttivät allekirjoitetussa allekirjoitetussa, ohittaen DMARC-tarkistukset. Se korostaa laajempaa suuntausta, jossa hyökkääjät väärinkäyttävät luotettavia alustoja ja pöytäkirjoja, jotta he voivat laittaa huijauksensa. Organisaatioille, jotka edelleen käyttävät ADF: ää, siirtymistä Microsoft Entras-tunnukseen on suositeltavaa, koska se tarjoaa enemmän tietojenkalastelu-ja todennusmenetelmiä.