Zacielenie na phishing Microsoft Office 365 Používatelia sa čoraz viac obracajú na špecializované odkazy, ktoré presmerujú používateľov na prihlasovaciu stránku e-mailu ich organizácie. Po prihlásení používateľa ho odkaz vyzve na inštaláciu škodlivej aplikácie, ale s neškodným menom, ktorá útočníkovi poskytne nepretržitý prístup bez hesla k ľubovoľným e-mailom a súborom používateľa, pričom obidva súbory sú vylúpené na spustenie škodlivého softvéru a phishingu. podvody. Proti iným.

Tieto útoky začínajú e-mailovým odkazom, ktorý nestiahne phishingovú stránku, ale skutočnú prihlasovaciu stránku Office 365 používateľa – či už je to na microsoft.com alebo v doméne zamestnávateľa. Po prihlásení sa používateľovi môže zobraziť výzva, ktorá vyzerá približne takto:

Tieto škodlivé aplikácie umožňujú útočníkom obísť viacfaktorové overenie, pretože používateľ s nimi súhlasí, keď sa už prihlási. Aplikácie tiež zostanú v účte Office 365 používateľa natrvalo, kým nebudú odstránené, a zostanú na mieste aj po obnovení hesla.

Tento týždeň napíšte svojmu predajcovi zabezpečenia Dôkaz Zverejnite nejaké nové údaje Vznik týchto škodlivých aplikácií z Office 365 s tým, že do tohto systému spadne vysoké percento používateľov Office [full disclosure: Proofpoint is an advertiser on this website].

Ryan Calember55 percent zákazníkov spoločnosti sa s útokmi škodlivých aplikácií stretlo v jednom alebo druhom okamihu, uviedol výkonný viceprezident pre stratégiu kybernetickej bezpečnosti spoločnosti Proofpoint.

„Z tých, ktorí boli napadnutí, bolo asi 22 percent – alebo jeden z piatich – úspešne preniknutých,“ uviedol Kalember.

Calmember uviedol, že v minulom roku sa spoločnosť Microsoft snažila obmedziť šírenie týchto škodlivých aplikácií balíka Office vytvorením overovacieho systému pre vydavateľa aplikácie, ktorý vyžaduje, aby bol vydavateľ platným členom partnerskej siete spoločnosti Microsoft.

Tento schvaľovací proces je pre útočníkov ťažkopádny, preto prišli s jednoduchým riešením. Teraz najskôr poškodia účty u dôveryhodných nájomcov, vysvetľuje Proofpoint. „Potom vytvárajú, hostujú a nasadzujú cloudový malvér zvnútra.“

Útočníci zodpovední za šírenie týchto škodlivých aplikácií balíka Office heslá nevyhľadávajú a v tomto scenári ich ani nevidia. Namiesto toho dúfajú, že po prihlásení používatelia kliknutím na tlačidlo „Áno“ vyjadria súhlas s inštaláciou škodlivej, ale pomenovanej, nie škodlivej aplikácie, do svojho účtu Office365.

Calmember uviedol, že podvodníci, ktorí stoja za týmito škodlivými aplikáciami, zvyčajne používajú akékoľvek napadnuté e-mailové účty na vykonanie „hackingu obchodného e-mailu“ alebo podvodu BEC, ktorý zahŕňa vydávanie sa za e-mail od niekoho, kto má oprávnenie v organizácii, a požaduje zaplatenie falošného účtu. Medzi ďalšie použitia patrilo odosielanie e-mailov s malvérom z e-mailového účtu obete.

Minulý rok Proofpoint písal o službe v oblasti podzemných počítačových zločincov, kde majú klienti prístup k rôznym účtom Office 365 bez používateľského mena alebo hesla. Služba tiež oznámila možnosť extrahovať a filtrovať e-maily a súbory na základe konkrétnych kľúčových slov, ako aj pripájať škodlivé makrá ku všetkým dokumentom na Microsoft OneDrive používateľa.

Služba pre zločincov inzeruje predaj prístupu k napadnutým účtom Office365. Foto: Proofpoint.

„Ak máte Office 365, nepotrebujete roboty a ak máte tieto, nepotrebujete malware [malicious] Povedal Kalember. „Je to jednoduchšie a dobrý spôsob, ako obísť viacfaktorové overovanie.“

Palacinky na bezpečnosť Prvýkrát sme pred týmto trendom varovali v januári 2020. Tento príbeh cituje spoločnosť Microsoft, ktorá to hovorí, zatiaľ čo organizácie používajú Office 365 Môže povoliť nastavenie, ktoré obmedzuje používateľov v inštalácii aplikácií„Bol to„ drastický krok “, ktorý„ vážne narušil schopnosť vašich používateľov pracovať s aplikáciami tretích strán. “

Od tej doby spoločnosť Microsoft pridala zásadu, ktorá umožňuje správcom služieb Office 365 zabrániť používateľom schváliť aplikáciu od nepodporovaného vydavateľa. Pravidlá pre nájomcov umožňujú súhlas aj s požiadavkami zverejnenými po 8. novembri 2020 a upozornením na obrazovke súhlasu v prípade, že vydavateľ nie je overený.

Pokyny spoločnosti Microsoft na zisťovanie a odstraňovanie neoprávneného súhlasu v službách Office 365 sú Tu.

Proofpoint hovorí, že správcovia O365 by mali obmedziť alebo blokovať neadministrátorov, ktorí môžu vytvárať aplikácie, a povoliť politiku vydavateľa overenú spoločnosťou Microsoft – vzhľadom na to, že väčšina cloudového malvéru stále pochádza od nájomníkov služieb Office 365, ktorí nie sú súčasťou partnerskej siete spoločnosti Microsoft. Odborníci tvrdia, že je tiež dôležité zabezpečiť si to Zapnite zabezpečenie protokolovania Výstrahy sa vytvárajú, keď zamestnanci zavedú do vašej infraštruktúry nový softvér.