Egy új, nagyméretű adathalász kampány aktívan használja ki a Microsoft Dynamics 365 ügyfél hangját Enterprise visszacsatolási kezelés alkalmazásához, és a Steals Creditorys-t, a SPEAL-COUNS-t tartalmazó multiportot, a SPEACTOR-t, a SPEAL-HOVAL-hoz, a SPEAL Creditorys-hez, a STEAL Creditorys-hez. hitelesítés (MFA). A támadás jelentős veszélyt jelent a globálisan olyan nagyszámú szervezet számára, amely a Microsoft 365 és a Dynamics 365 üzleti tevékenységekre támaszkodik. azonosította ezt a kampányt, megjegyezve, hogy kihasználja a veszélyeztetett fiókokat, hogy hamis dinamikát tartalmazó e-maileket küldjön, 365 ügyfél-hang linkeket. Az e-maileket úgy készítik, hogy legitimnek tűnjenek, gyakran olyan pénzügyi témákra összpontosítanak, mint például az elszámolási kimutatások vagy a fizetési információk. A kampány már több mint 3370 e-mailt telepített, több mint 350 szervezetnél, elsősorban az Egyesült Államokban, és több mint egymillió postaládát célozva. A felhasználókat először a CAPTCHA tesztre irányítják, amelynek taktikája célja a hitelesség levegője. Ezt követően az áldozatokat egy adathalász helyszínre küldik, amelynek célja a Microsoft bejelentkezési oldal utána utánozása, ahol a támadók megpróbálják ellopni a hitelesítő adatokat. A sikeres támadások a számítógépes bűnözők számára jogosulatlan hozzáférést biztosítanak az érzékeny információkhoz és rendszerekhez, amelyek potenciálisan manipulált belső számlákhoz, pénzeszközök lopásához és működési zavarokhoz vezetnek. > A megbízható Microsoft Services kiaknázása
Ennek a módszernek a oka a bizalom kizsákmányolásában rejlik. Arra támaszkodik, hogy a címzett ismeri a szokásos üzleti kommunikációt, amely magában foglalja a Microsoft márkájú szolgáltatásokat, így a csalárd e-mailek megnehezíthetik a legitim levelezéstől. A támadók a támadási lánc részeként a Microsoft Értesítések legitim linkeit kihasználják.
Ezt a technikát, amely a legitim helyszíneket kihasználja a biztonsági szkennerek eljutásához, a Check Point kutatói „statikus gyorsforgalmi útnak” nevezik. Az ilyen támadások hihetetlenül nehézek a biztonsági szolgáltatások számára, hogy felismerjék, és a felhasználók számára még nehezebben azonosíthatják. A Check Point szerint „A felhasználók először egy legitim oldalra irányulnak-így az e-mail testület URL-jén lebegve nem fog védelmet nyújtani.” Az adathalász link gyakran több köztes oldalon átirányítja a felhasználókat, mielőtt a végső adathalász oldalra szállnának. Dynamics 365 Formák Használjon legitim SSL tanúsítványokat, például a https://forms.office.com vagy a https://yourcompanyname.dynamics.com fájlt Többtényezős hitelesítés. Ezt gyakran a kifinomult adathalász-szolgáltatás (PHAAS) eszközkészletek felhasználásával érik el. A felhasználói hitelesítő adatok és a munkamenet-sütik elfogása, ami azt jelenti, hogy még az MFA engedélyezésével rendelkező felhasználók továbbra is sebezhetőek lehetnek. A Microsoft nyomon követi a DADSEC/Phoenix adathalászkészlet fejlesztőit és forgalmazóit, amelyek a Rockstar 2FA-hoz kapcsolódnak, a moniker vihar-1575 . előfizetési modellen keresztül érhető el, két hétig 200 dollárba vagy 350 dollárba kerül egy hónapra, olyan platformon, mint az ICQ, a Telegram és a Mail.ru (FUD) linkek és távirat bot integrációja.
E-mail kampányok a Rockstar 2FA felhasználásával, a különféle kezdeti hozzáférési vektorok, például az URL-ek, a QR-kódok és a dokumentum mellékletek felhasználásával. A Rockstar 2FA-val használt csalétek sablonok a fájlmegosztási értesítésektől az e-aláírási kérelmekig terjednek. A támadók a legitim link-átirányítókat használják mechanizmusként az antispam-észlelés megkerülésére. Elindíthatják a Business e-mailben történő továbbterjesztést. A támadók manipulálják az e-mail beállításokat is, hogy elrejtsék tevékenységüket, szűrési szabályokat hozva létre a biztonsági értesítések automatikus törlése érdekében. Az észlelés elkerülése érdekében a VPN szolgáltatásokat használhatják, és úgy tűnik, hogy bejelentkezési helyük az áldozat szokásos helyéről származik. Néhány rosszindulatú e-mail azonban még mindig eljuthatott a postaládákhoz, mielőtt ezeket az oldalakat levetik. A Microsoft 4 milliárd dolláros csaláskísérleteket dobott el, 49 000 csalárd partnerségi beiratkozást elutasított, és 2024 április és 2025 április között körülbelül 1,6 millió bot regisztrációs kísérletet blokkolt, a microsoft biztonsági blog . A 2025 januárjában tartott politika, amely előírja a termékcsoportoktól, hogy végezzenek csalások megelőzését és a csalások ellenőrzését hajtsák végre a tervezési folyamat részeként, amint azt a blogbejegyzésükben megjegyezzük. Ez év elején külön tömeges adathalász támadást figyeltek meg a Microsoft ADFS bejelentkezési portálok hamisítására az üzleti e-mail fiókok eltérítésére, bemutatva, hogy a Microsoft hitelesítési rendszerek folyamatban vannak. Az adathalász alapú hitelesítő adatok lopása felé történő elmozdulás a modern kibertámadások szélesebb tendenciájával igazodik. A csaló e-mailek minőségének és személyre szabásának javítása a Netskope elemzés szerint. Az állami szponzorált hackelési csoportok AI-t is használnak a számítógépes műveletek finomításához, beleértve az adathalászat és a felderítés, bár az AI még nem hozott létre alapvetően új támadási módszereket.
Microsoft nem jelent meg , hogy az”ai ai. A színészek, akik saját termelékenységi eszközeiket keresik, megkönnyítik és olcsóbbak, ha hihető tartalmat generálnak a kibertámadásokhoz, egyre gyorsabban.”Az AI eszközök beolvashatják és kaparhatják az internetet a vállalati információkra, segítve a kibertámadókat az alkalmazottak vagy más célok részletes profiljának felépítésében, hogy rendkívül meggyőző szociális mérnöki csalókat hozzanak létre. Ez a technika manipulálja a Google OAuth keretét, hogy e-maileket küldjön, amelyek hitelesen aláírtak, megkerülve a DMARC ellenőrzéseket. Hangsúlyozza a szélesebb körű tendenciát, amikor a támadók visszaélnek a megbízható platformokkal és a protokollokkal, hogy legitimitást adjanak csalásuknak. Az ADF-eket még mindig használó szervezetek számára a Microsoft Entra ID-re való áttérést javasoljuk, mivel ez több adathalász-rezisztens hitelesítési módszert kínál. A képzés szintén döntő lépések. Az alkalmazottakat oktatni kell az adathalászkísérletek azonosításáról és a szokatlan bejelentkezési kérelmek ellenőrzéséről az informatikai osztályukkal. A folyamatos ellenőrzést igénylő nulla-bizalmi biztonsági keretek felé történő elmozdulást szintén jövőbeli szabványnak tekintik.
