Phishing Microsoft Teams ειδοποιήσεις στοχεύουν στην κλοπή Office 365 credentials

Μια εξαιρετικά πειστική phishing εκστρατεία λαμβάνει χώρα αυτή την περίοδο. Χρησιμοποιεί το εικονίδιο από τις αυτοματοποιημένες ειδοποιήσεις του Microsoft Teams και πραγματοποιεί επιθέσεις που στοχεύουν στην κλοπή credentials του Office 365.

Η πλατφόρμα συνεργασίας Microsoft Teams χρησιμοποιείται πολύ συχνά κατά τη διάρκεια της πανδημίας COVID-19, με τη Microsoft να ανακοινώνει στις 30 Μαρτίου ότι η πλατφόρμα έχει φτάσει τους 75 εκατομμύρια καθημερινούς χρήστες (DAU) (αύξηση 70% από τις 19 Μαρτίου, όταν ανέφερε 44 εκατομμύρια χρήστες).

Τα phishing emails που πλαστογραφούν το Microsoft Teams έχουν φτάσει στα inboxes 15.000 έως 50.0000 στόχων, σύμφωνα με τους ερευνητές της εταιρείας ασφαλείας Abnormal Security.

Αυτό που καθιστά ακόμη πιο επικίνδυνα αυτά τα phishing emails είναι ότι οι χρήστες αυτή την περίοδο λαμβάνουν συνεχώς ειδοποιήσεις από διάφορες διαδικτυακές υπηρεσίες συνεργασίας, που χρησιμοποιούνται για τη διατήρηση επαφών μεταξύ συνεργατών, φίλων και συγγενών.

SecNewsTV

23.5K subscribers

Περισσότερα... Subscribe!

Κλωνοποίηση σελίδων σύνδεσης για κλοπή λογαριασμών του Microsoft Office 365

Αυτό που κάνει αυτές τις επιθέσεις ξεχωριστές είναι η κλωνοποίηση των ειδοποιήσεων του Microsoft Teams.

“Δεδομένου ότι οι εικόνες που βρέθηκαν σε αυτήν την επίθεση είναι πραγματικές εικόνες που χρησιμοποιούνται από τον νόμιμο πάροχο, ο παραλήπτης πιστεύει ότι είναι ένα νόμιμο μήνυμα ηλεκτρονικού ταχυδρομείου”, ανέφεραν οι ερευνητές. “Αυτό ισχύει ιδιαίτερα για τα κινητά, όπου οι εικόνες καταλαμβάνουν το μεγαλύτερο μέρος της οθόνης”.

Κάποια από τα phishing emails, που βρήκαν οι ερευνητές, ειδοποιούν τα θύματα για offline ηχητικά μηνύματα και τους καλούν να τα ακούσουν. Άλλα emails τους λένε ότι οι συνεργάτες τους προσπαθούν να έρθουν σε επαφή μαζί τους μέσω του Microsoft Teams.

Αυτά τα τελευταία παρέχουν, επίσης, συνδέσμους για την εγκατάσταση του Teams client σε συσκευές iOS και Android.

Αυτή η phishing εκστρατεία μπορεί να παρακάμψει κάποια Secure Email Gateways (SEGs) και να πείσει πολύ περισσότερους στόχους να επισκεφθούν τη phishing σελίδα.

Για να αποφύγουν τις υπηρεσίες προστασίας, οι εισβολείς χρησιμοποιούν πολλές ανακατευθύνσεις με τελικό στόχο την απόκρυψη της διεύθυνσης URL που χρησιμοποιείται για τη φιλοξενία της phishing εκστρατείας.

Για παράδειγμα, σε μια από τις επιθέσεις, “αρχικά το link οδηγεί στο YouTube και, στη συνέχεια, γίνεται δύο φορές ανακατεύθυνση μέχρι να οδηγήσει το θύμα στην τελική σελίδα που φιλοξενεί το phishing Microsoft site που ζητά credentials“.

Σε μια άλλη έκδοση αυτών των επιθέσεων, το phishing email αποστέλλεται από ένα πρόσφατα καταχωρημένο domain, το sharepointonline-irs [.] com, το οποίο δεν σχετίζεται με τη Microsoft ή την Υπηρεσία Εσωτερικών Εσόδων των ΗΠΑ (IRS), παρόλο που προσπαθεί να πείσει τους στόχους για το αντίθετο.

Οι phishing σελίδες χρησιμοποιούν επίσης τα ίδια γραφικά που εμφανίζονται στα Microsoft Teams web notifications. Επομένως, το μήνυμα είναι πολύ πειστικό.

Τα θύματα φτάνουν στο phishing site του Office 365 και καλούνται να βάλουν τα credentials του.

“Εάν ο παραλήπτης πέσει θύμα αυτής της επίθεσης, αυτά τα credentials θα παραβιαστούν”, εξηγούν οι ερευνητές.

“Επιπλέον, δεδομένου ότι το Microsoft Teams είναι συνδεδεμένο με το Microsoft Office 365, ο εισβολέας ενδέχεται να έχει πρόσβαση σε άλλες διαθέσιμες πληροφορίες με τα Microsoft credentials του χρήστη μέσω single-sign-on”.

Microsoft Teams, phishing και κλοπή credentials

Ο Microsoft Teams client διορθώθηκε πρόσφατα για να αντιμετωπίσει μια ευπάθεια ασφαλείας που επέτρεπε στους εισβολείς να πάρουν τον έλεγχο λογαριασμών χρηστών με την αποστολή ενός GIF.

Οι hackers χρησιμοποιούν διάφορους τρόπους για να κλέψουν τα credentials των Office 365 λογαριασμών. Επομένως, οι χρήστες πρέπει να είναι πολύ προσεκτικοί και να μην βάζουν τα στοιχεία τους σε links που βρίσκουν σε emails.