En nettfiske-kampanje som bruker legitime virksomheters sin Office 365-infrastruktur for å sende e-post har dukket opp på cyberkrim-scenen.
Ifølge Michael Tyler ved PhishLabs ser nettkriminelle ut til å kompromittere Microsoft Office 365-administratorkontoer for så å sende ut nye nettfiskefeller - og dermed sikre at e-postene kommer fra legitime, validerte domener.
"Dette er gunstig for angriperne fordi mange e-postfiltreringsløsninger benytter omdømmet til et avsenderdomene som en viktig komponent for å avgjøre om de skal blokkere en e-post," forklarte han i et nylig innlegg om kampanjen. Det er mindre sannsynlig at veletablerte domener med en god historie med sending av godartede meldinger, raskt blir blokkert av disse systemene. Dette øker leveransenivået og effektiviteten til nettfiskefellen. "
Angriperne får tilgang til legitime Office 365-installasjoner med administrative rettigheter (via nettfiske, brute-force eller stjålet passord). Office 365-administratorer har administrativ kontroll over alle e-postkontoer på et domene, så svindlene bruker disse privilegiene til å sette opp en ny e-post konto i systemet. Deretter blir fellene sendt ut fra den nyopprettede kontoen.
"Ved å bruke en nyopprettet konto, trenger ikke angriperen å bekymre seg for en legitim bruker som tilfeldigvis kommer over den ondsinnede aktiviteten som foregår, verken ved å observere utgående post eller motta automatiserte svar fra mislykkede leveringsforsøk," forklarte Taylor.
Videre prøver nettsvindlene å skaffe seg andre Office 365-kontoer med brukernavn og passord. I svindel-e-postene (som bruker en “Handling kreves!” Eller “Vi har satt et stopp på kontoen din” emnelinjer), blir målet presentert med en lenke som fører til en forfalsket innloggingsside for Office 365. I tillegg vil angriperne kunne bruker sin tilgang til andre ondsinnede aktiviteter, påpekte Taylor.
"Avhengig av den nåværende konfigurasjonen av Office 365-forekomsten, kan en kompromittert administrasjonskonto muliggjøre henting av bruker-e-poster, eller fullstendig overtakelse av andre e-postkontoer på domenet," sa han. "I tillegg har Office 365-administratorer ofte utvidede privilegier på andre systemer i en organisasjon, noe som potensielt lar ytterligere brudd finne sted via tilbakestillinger av passord eller misbruk av systemer med enkel pålogging som ikke bruker 2-faktor."
Denne teknikken for å utnytte omdømmet til et kompromittert domene for å distribuere nettfiske e-poster, sees i en "spre-og-be" -kampanje som ikke er målrettet, og som har rammet et bredt utvalg av bedrifter og bransjer, ifølge PhishLabs sin analyse. Selskapet sa at flere validerte domener har blitt kompromittert for å sende ut nettfiske feller.
Trender innen phishing-taktikk
Ifølge Vade Secures "Phishers 'Favorites" -rapport for 3. kvartal 2019, var unike nettfiskingsadresser fra Microsoft som ble oppdaget i 3. kvartal 2019 ned med 31,5 prosent sammenlignet med andre kvartal. Imidlertid er nettfiske-angrep fra Office 365 fremdeles svært vanlige, med mer enn 150 unike nettadresser som vises per dag, viser Vade-dataene.
Office 365 nettfiske-teknikker har også blitt bedre, fordi beskyttelsen og brukerbevisstheten har blitt bedre, ifølge rapporten.
"Cybercriminals utvikler alltid sin nettfiske-taktikken, og hvert kvartal ser vi dem bli smartere og mer innovative for å følge med på sikkerhetsystemer som blir distribuert av e-postbrukere og bedrifter," sier Adrien Gendre, sjefsløsningsarkitekt i Vade. "Til tross for fallet i relaterte Microsoft nettfiske-nettadresser, er det viktig for organisasjoner å være på vakt, da forskerne våre har avdekket en rekke nye og sofistikerte metoder for å angripe Office 365-brukere."
I nettfiske-svindel har f.eks noen nettfiskere skiftet til randomisering av e-post, for eksempel å bruke en modifisert merkevarelogo (f.eks. Microsoft-logo på blå bakgrunn) for å omgå algoritmer for maling og matching av funksjoner, ifølge rapporten, som bare kan identifisere nøyaktige treff på bildet.
"Dessuten har cyberkriminelle begynt å skifte fokus til oppbyggingen av svindel e-posten, og utnyttet forskjellige randomteknikker for å bryte gjennom tradisjonelle sikkerhetslag," ifølge Vade-rapporten. "Dette minimerer behovet for unike nettadresser for hver melding fordi nettfiskeren kan bruke samme webside på tvers av et stort antall e-poster."
Interessant nok, i tredje kvartal, overtok PayPal toppplasseringen fremfor Microsoft for antall unike nettfiske-koblinger relatert til det. Netflix rykket i mellomtiden opp til tredje plassering med en 14,1 prosent økning kvartal over kvartal og 73,7 prosent vekst fra år til år i unike nettfiskingsadresser.
SaaS Security er Nordisk distributør av Proofpoint Email Security Service som gir den beste beskyttelsen mot nulldagstrusler på linker og vedlegg gjennom automatisk sandboxer på både klikk og vedlegg. Adm dir Egil Løseth sier at enhver hacker sitter med sin egen O365 konto og de vet nøyaktig hva som går gjennom eller ikke. Løseth sier det er nye trusler som ikke har vært sett før, såkalte nulldagstrusler, som er det store sikkerhetsproblemet, og at man derfor må ha løsninger som gir den beste beskyttelsen mot disse. Han avslutter med at et klikk på en farlig link eller vedlegg er nok til å sette virksomheten ut av spill i dager eller uker. Løseth forteller også at BitGlass CASB også vil gi en meget høy sikkerhet for bedrifter som har mye av sine data og applikajsoner i nettskyen. Han avslutter med at nettsvindlerne retter seg stadig større grad mot O365 kunder og administratorer.
Les den orginale artikkelen her: https://threatpost.com/office-365-admins-phishing/150352/