Έχει ανακαλυφθεί μια καινούρια καμπάνια phishing που χρησιμοποιεί επώνυμες σελίδες σύνδεσης του Microsoft Office 365 για να ξεγελάσει τα θύματα στο να πιστεύουν ότι συνδέονται με τον αυθεντικό λογαριασμό του Office 365.
Τα phishing email προειδοποιούν τον χρήστη ότι τα email δεν συγχρονίζουν και έτσι εμποδίζεται η αποστολή email στον λογαριασμό του χρήστη. Το phishing email περιλαμβάνει ένα link που λέει “Read Message” το οποίο κατευθύνει το χρήστη σε μια ψεύτικη login page του Office 365 όπου μπορούν να ελέγξουν τα μηνύματα και να αποφασίσουν τι να κάνουν με αυτά.
Εάν ο χρήστης κάνει κλικ στο link, η διεύθυνση ηλεκτρονικού ταχυδρομείου του θα ελεγχθεί και θα επικυρωθεί και ο χρήστης θα οδηγηθεί στη phishing σελίδα. Αυτό που καθιστά τη συγκεκριμένη καμπάνια μοναδική είναι ο έλεγχος που επιτρέπει στους επιτιθέμενους να «scrap-άρουν» τη σελίδα σύνδεσης του Office 365 που χρησιμοποιεί η εταιρεία μέσω HTTP GET requests. Το προσαρμοσμένο υπόβαθρο και το λογότυπο της εταιρείας προστίθενται δυναμικά στη phishing σελίδα. Εάν μια εταιρεία δεν διαθέτει προσαρμοσμένη σελίδα σύνδεσης, χρησιμοποιείται το τυπικό background του Office 365.
Οι σελίδες σύνδεσης είναι κλώνοι των ενοικιασμένων σελίδων, επομένως είναι απίθανο να αναγνωριστούν ως πλαστές από τους χρήστες. Οι phishing σελίδες φιλοξενούνται επίσης σε νόμιμη υποδομή αποθήκευσης cloud. Τα domain περιλαμβάνουν είτε τα domain blob.core.windows.net ή azurewebsites.net, τα οποία έχουν έγκυρα πιστοποιητικά SSL της Microsoft. Το αποτέλεσμα είναι μια εξαιρετικά πειστική εκστρατεία που πιθανόν να ξεγελάσει πολλούς υπαλλήλους να αποκαλύψουν τα credentials σύνδεσης τους.
Το Microsoft Οffice 365 είναι η πιο κοινά αποδεκτή υπηρεσία cloud με βάση των αριθμό των χρηστών που ξεπερνά τα 155 εκατομμύρια. 1 στους 5 υπαλλήλους των ΗΠΑ χρησιμοποιεί τουλάχιστον μία υπηρεσία του Office 365 και οι μισές επιχειρήσεις που χρησιμοποιούν υπηρεσίες cloud χρησιμοποιούν το Office 365. Με τόσο μεγάλους αριθμούς δεν αποτελεί έκπληξη το γεγονός ότι οι χρήστες του Office 365 είναι στόχος.
Αυτό που προκαλεί μεγάλη ανησυχία είναι ο αριθμός των ηλεκτρονικών μηνυμάτων ηλεκτρονικού “ψαρέματος” (phishing) που παρακάμπτουν τις τυπικές αμυντικές διαδικασίες phishing του Office 365. Μια μελέτη του Avanan έδειξε φέτος ότι το 25% των phishing email παρακάμπτουν το Office 365 και φτάνουν στα inbox των εργαζομένων.
Όταν η πρόσβαση ενός λογαριασμού αποκτηθεί, μπορεί να χρησιμοποιηθεί για phishing επιθέσεις σε άλλους υπαλλήλους του οργανισμού. Ο στόχος των εισβολέων είναι να εισβάλουν σε όσο το δυνατόν περισσότερους λογαριασμούς και, ιδανικά θέλουν έναν λογαριασμό admin. Οι compromised λογαριασμοί μπορούν επίσης να χρησιμοποιηθούν για επιθέσεις BEC, τα credentials μπορούν να χρησιμοποιηθούν για την πρόσβαση σε άλλους πόρους του Office 365 και οι λογαριασμοί email μπορούν να “λεηλατηθούν” με στόχο ευαίσθητα δεδομένα.
Πώς να προστατεύσετε την επιχείρησή σας και να αποκλείσετε τις phishing επιθέσεις του Office 365
Υπάρχουν κάποια βασικά μέτρα που πρέπει να ληφθούν για να βελτιώσετε την άμυνα σας κατά των επιθέσεων phishing του Οffice 365. Το πιο σημαντικό βήμα είναι να βελτιωθεί η προστασία κατά του ηλεκτρονικού ψαρέματος (phishing) με μια λύση αντι-spam και anti-phishing τρίτου μέρους (κυκλοφορούν πολλές επιλογές στην αγορά).
Όμως καμία λύση κατά του phishing δεν θα προσφέρει πλήρη προστασία από τέτοιου είδους επιθέσεις, επομένως είναι σημαντικό να εξασφαλιστεί ότι οι εργαζόμενοι λαμβάνουν την απαραίτητη κατάρτιση σχετικά με την ασφάλεια. Το εργατικό δυναμικό θα πρέπει να διδάσκεται σχετικά με τους κινδύνους των ηλεκτρονικών επιθέσεων και τον τρόπο εντοπισμού των ηλεκτρονικών μηνυμάτων ηλεκτρονικού “ψαρέματος”. Με την κατάρτιση, μπορείτε να μετατρέψετε τους υπαλλήλους σας σε μια ισχυρή τελευταία γραμμή άμυνας.
Όμως ακόμα και ο εργαζόμενος με μεγαλύτερη συνείδηση της ασφάλειας θα μπορούσε να ξεγελαστεί και να αποκαλύψει τα credentials του Οffice 365 αν λάβει ένα πολύ πειστικό phishing email. Επομένως, είναι σημαντικό να εφαρμοστεί έλεγχος ταυτότητας 2 παραγόντων.
Ο έλεγχος ταυτότητας 2 παραγόντων απαιτεί μια δεύτερη μέθοδο ελέγχου ταυτότητας χρηστών, εκτός από τον κωδικό πρόσβασης, όταν οι χρήστες προσπαθούν να συνδεθούν από μια άγνωστη τοποθεσία ή μια νέα συσκευή. Η πρόσβαση στο λογαριασμό μπορεί να αποκλειστεί από τον 2FA έλεγχο, σε περίπτωση που συμβεί υποκλοπή των password. Ωστόσο, ο έλεγχος ταυτότητας 2 παραγόντων δεν είναι αλάνθαστος, επομένως οι επιχειρήσεις δεν θα πρέπει να βασίζονται αποκλειστικά στο μέτρο αυτό για την προστασία των λογαριασμών του Οffice 365.
