ΑρχικήsecurityHackers παραβιάζουν λογαριασμούς στο Office 365 μέσω ATO επιθέσεων

Hackers παραβιάζουν λογαριασμούς στο Office 365 μέσω ATO επιθέσεων

Office 365Πρόσφατα έγινε γνωστό, ότι hackers στοχεύουν λογαριασμούς χρηστών στο Office 365, μέσω takeover επιθέσεων (ATO), με σκοπό να τους χρησιμοποιήσουν για άλλες επιθέσεις, όπως phishing, BEC επιθέσεις και κακόβουλες διαφημιστικές εκστρατείες.

Κάποιοι ερευνητές έδειξαν στην έκθεσή τους ότι κατά τη διάρκεια του Μαρτίου, οι hackers έστειλαν 1,5 εκατομμύρια κακόβουλα και spam emails, χρησιμοποιώντας 4,000 λογαριασμούς, που παραβίασαν μέσω ATO επιθέσεων.

Οι hackers αποκτούσαν πρόσβαση στους λογαριασμούς του Office 365, εγκαθιστούσαν κακόβουλες ρυθμίσεις για να κρύψουν τη δραστηριότητά τους και στη συνέχεια έσβηναν τα phishing και spam μηνύματα που έστελναν από τους λογαριασμούς.

Οι ερευνητές ανακάλυψαν ότι οι επιθέσεις προέρχονταν κυρίως από κινεζικές διευθύνσεις IP (περίπου το ένα τέταρτο των συνολικών επιθέσεων). Ωστόσο, κάποιοι χρησιμοποίησαν και servers, που βρίσκονται στη Βραζιλία (9%), στη Ρωσία (7%), στην Ολλανδία (5%) και στο Βιετνάμ (5%).

Μέθοδοι επίθεσης στο Office 365

Οι hackers κάνουν αρκετά προσεκτική δουλειά για να εξαπατήσουν τα θύματα. Οι μέθοδοι που χρησιμοποιούν, είναι ένας συνδυασμός πλαστοπροσωπίας, phishing και social engineering. Οι απατεώνες χρησιμοποιούν μεγάλες εταιρείες (π.χ. Microsoft) για να κάνουν τα θύματα να επισκεφτούν συγκεκριμένες σελίδες, οι οποίες στην πραγματικότητα ελέγχονται από τους hackers.

Με αυτόν τον τρόπο μπορούν να κλέψουν τα credentials των χρηστών.

Επιπλέον, επειδή πολλοί άνθρωποι χρησιμοποιούν το ίδιο όνομα χρήστη και τον ίδιο κωδικό πρόσβασης σε διάφορους λογαριασμούς, οι hackers μπορούν να χρησιμοποιήσουν τα κλεμμένα credentials και να αποκτήσουν πρόσβαση σε όλους τους λογαριασμούς.

Με τα κλεμμένα credentials, οι hackers προσπαθούν να αποκτήσουν πρόσβαση και στα εταιρικά emails των χρηστών (BEC επίθεση-Business Email Compromise).

Επίσης, οι ερευνητές ανακάλυψαν και brute-force επιθέσεις, οι οποίες εκμεταλλεύονται το ότι οι χρήστες χρησιμοποιούν πολύ εύκολους και προβλέψιμους κωδικούς.

Πριν να πραγματοποιήσουν την επίθεση, οι hackers παρακολουθούν τις επιχειρήσεις που στοχεύουν. Τι δουλειές κάνει η εταιρεία, πώς γίνονται οι συναλλαγές και πολλά άλλα. Με βάση αυτά τα στοιχεία και τα κλεμμένα credentials, οι εγκληματίες είναι σε θέση να κάνουν επιτυχημένες επιθέσεις.

Στη συνέχεια, χρησιμοποιούν τους λογαριασμούς που έχουν παραβιάσει και στοχεύουν τους υπαλλήλους της εταιρείας, ιδίως αυτούς που εργάζονται στο τμήμα οικονομικών. Μέσω των BEC επιθέσεων και του social engineering, εξαπατούν τους υπαλλήλους.

Μια έκθεση του FBI έδειξε ότι οι εγκληματίες κατάφεραν να αποσπάσουν περίπου 1,2 δισεκατομμύρια δολάρια κατά το 2018, πραγματοποιώντας αυτού του είδους την επίθεση. Σύμφωνα με την έκθεση, οι επιθέσεις BEC / EAC ήταν αυτές που εξασφάλισαν στους hackers τα περισσότερα χρήματα.

Το 2018 έγιναν τριπλάσιες επιθέσεις, τέτοιου είδους, σε σχέση με το 2017 και χρησιμοποιήθηκαν πιο εξειδικευμένες μέθοδοι.

Σύμφωνα με την έκθεση των ερευνητών, οι hackers χρησιμοποιούν τους παραβιασμένους λογαριασμούς για την κλοπή προσωπικών, οικονομικών και εμπιστευτικών δεδομένων καθώς και για άλλα εγκλήματα, ενώ κάνουν και επιθέσεις σε συνεργάτες και πελάτες των εταιρειών.

Αντιμετώπιση

Οι ειδικοί προτείνουν στους οργανισμούς να χρησιμοποιούν τη μηχανική εκμάθηση, για να αντιμετωπίσουν επιθέσεις που παραβιάζουν τους λογαριασμούς ηλεκτρονικού ταχυδρομείου.

Επίσης, πολύ χρήσιμος είναι και ο έλεγχος ταυτότητας δυο παραγόντων, καθώς προσθέτει ένα extra επίπεδο προστασίας.

Τέλος, πρέπει να αναπτυχθούν εργαλεία που θα ανιχνεύουν τις ATO επιθέσεις, θα παρακολουθούν τους λογαριασμούς και θα ειδοποιούν για οποιαδήποτε παραβίαση. Η εκπαίδευση των εργαζομένων μιας εταιρείας, ώστε να είναι σε θέση να αναγνωρίζουν τα phishing emails και να εντοπίζουν ύποπτες δραστηριότητες, είναι εξίσου σημαντική.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS