Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Người dùng Microsoft 365 ở Hoa Kỳ phải đối mặt với hàng loạt cuộc tấn công

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 108

Khách hàng của Microsoft 365 và Outlook ở Hoa Kỳ đang nằm trong tầm ngắm của một chiến dịch đánh cắp thông tin xác thực thành công sử dụng các email có chủ đề thư thoại làm mồi nhử lừa đảo. Các nhà nghiên cứu nói rằng tràn ngập các email độc hại neo giữ mối đe dọa là biểu tượng của vấn đề lớn hơn trong việc bảo mật môi trường Microsoft 365.

Theo phân tích từ Zscaler's ThreatLabz, một cuộc tấn công có mục tiêu cao đã diễn ra từ tháng XNUMX, nhằm vào các ngành dọc cụ thể, bao gồm bảo mật phần mềm, quân đội Mỹ, các nhà cung cấp giải pháp bảo mật, chăm sóc sức khỏe / dược phẩm và chuỗi cung ứng sản xuất.

Chiến dịch đã thành công trong việc thỏa hiệp các bằng chứng xác thực, có thể được sử dụng cho nhiều loại trò chơi cuối cùng của tội phạm mạng. Chúng bao gồm chiếm đoạt tài khoản để truy cập tài liệu và lấy cắp thông tin, nghe trộm thư từ, gửi email thỏa hiệp email doanh nghiệp (BEC) đáng tin cậy, cấy phần mềm độc hại và đào sâu hơn vào các mạng công ty. Tổ hợp ID người dùng / mật khẩu cũng có thể được thêm vào danh sách nhồi nhét thông tin xác thực với hy vọng rằng nạn nhân đã mắc lỗi khi sử dụng lại mật khẩu cho các loại tài khoản khác (chẳng hạn như ngân hàng trực tuyến).

Robin Bell, CISO của Egress, cho biết: “Các tài khoản Microsoft 365 thường là một kho tàng dữ liệu, có thể được tải xuống hàng loạt. “Hơn nữa, tin tặc có thể sử dụng các tài khoản Microsoft 365 bị xâm nhập để gửi email lừa đảo đến các địa chỉ liên hệ của nạn nhân, tối đa hóa hiệu quả của các cuộc tấn công của chúng”.

Chuỗi tấn công lừa đảo qua thư thoại

Từ góc độ kỹ thuật, các cuộc tấn công tuân theo một dòng lừa đảo cổ điển - với một vài câu hỏi khiến họ thành công hơn.

Các cuộc tấn công bắt đầu với các thông báo thư thoại bị nhỡ có chủ đích được gửi qua email, có chứa các tệp đính kèm HTML.

Các tệp đính kèm HTML thường vượt qua các bộ lọc cổng email vì chúng không độc hại. Họ cũng không có xu hướng tăng cờ đỏ cho người dùng trong cài đặt thông báo thư thoại, vì đó là cách các thông báo Office hợp pháp được gửi. Và để bổ sung kinh độ, các trường "Từ" trong email được tạo đặc biệt để phù hợp với tên của tổ chức được nhắm mục tiêu, theo một Bài đăng trên blog Zscaler.

Nếu mục tiêu nhấp vào tệp đính kèm, mã JavaScript sẽ chuyển hướng nạn nhân đến trang web thu thập thông tin xác thực do kẻ tấn công kiểm soát. Mỗi URL này đều được tạo tùy chỉnh để phù hợp với công ty được nhắm mục tiêu, theo các nhà nghiên cứu.

“Ví dụ: khi một cá nhân trong Zscaler bị nhắm mục tiêu, URL đã sử dụng định dạng sau: zscaler.zscaler.briccorp [.] Com / , ”Họ lưu ý trong bài đăng trên blog, trong đó nêu chi tiết các cuộc tấn công. “Điều quan trọng cần lưu ý là nếu URL không chứa email được mã hóa base64 ở cuối; thay vào đó, nó chuyển hướng người dùng đến trang Wikipedia của MS Office hoặc đến office.com. "

Tuy nhiên, trước khi dấu có thể truy cập trang, một kiểm tra reCAPTCHA của Google bật lên - một kỹ thuật ngày càng phổ biến để tránh các công cụ phân tích URL tự động.

CAPTCHA quen thuộc với hầu hết người dùng Internet như những thách thức được sử dụng để xác nhận rằng họ là con người. Các câu đố Turing test-ish thường liên quan đến việc nhấp vào tất cả các ảnh trong lưới có chứa một đối tượng nhất định hoặc nhập một từ được trình bày dưới dạng văn bản bị mờ hoặc bị bóp méo. Ý tưởng là loại bỏ bot trên các trang thương mại điện tử và tài khoản trực tuyến - và chúng phục vụ mục đích tương tự cho kẻ gian.

Sau khi các mục tiêu giải quyết CAPTCHA thành công, chúng sẽ được gửi đến trang lừa đảo, nơi chúng được yêu cầu nhập thông tin đăng nhập Microsoft 365 của mình - tất nhiên, chúng sẽ bị kẻ xấu ở đầu kia của URL bắt kịp thời.

“Khi gặp phải lời nhắc đăng nhập trông giống như thông tin đăng nhập O365 thông thường, người đó có thể cảm thấy thoải mái khi nhập thông tin của họ mà không cần nhìn vào thanh URL của trình duyệt để đảm bảo họ đang truy cập trang web đăng nhập thực sự,” Erich Kron, người ủng hộ nhận thức về bảo mật với KnowBe4, nói với Dark Reading. “Sự quen thuộc này và khả năng cao là một nạn nhân có chủ đích thường xuyên sử dụng O365 cho một việc gì đó trong ngày làm việc của họ, khiến điều này trở thành một sự thu hút tuyệt vời cho những kẻ tấn công.”

Sử dụng thư thoại làm mồi nhử không phải là một kỹ thuật mới - nhưng đó là một thành công. Các nhà nghiên cứu lưu ý rằng chiến dịch hiện tại thực sự là sự hồi sinh của hoạt động trước đó được thấy vào tháng 2020 năm XNUMX, do có sự trùng lặp đáng kể về chiến thuật, kỹ thuật và thủ tục (TTP) giữa hai làn sóng lừa đảo.

“Những cuộc tấn công này nhắm vào bản chất con người, thao túng nạn nhân của họ bằng các kỹ thuật đánh vào tâm lý của chúng ta,” Egress 'Bell nói với Dark Reading. “Đó là lý do tại sao, dù đã đầu tư vào đào tạo nâng cao nhận thức về bảo mật, nhiều tổ chức vẫn trở thành nạn nhân của lừa đảo. Thêm vào đó, những kẻ đe dọa đang tạo ra các cuộc tấn công ngày càng tinh vi, có tính thuyết phục cao mà nhiều người chỉ đơn giản là không thể phân biệt được đâu là 'thật'. Điều này càng trở nên trầm trọng hơn do việc sử dụng ngày càng nhiều thiết bị di động, vì người dùng thường không thể nhìn thấy các chi tiết như thông tin thực của người gửi ”.

Microsoft 365 tiếp tục trở thành mục tiêu phổ biến

Phiên bản đám mây của bộ năng suất của Microsoft, trước đây được gọi là Office365 hoặc O365 và được công ty đổi tên thành Microsoft 365, được sử dụng bởi hơn 1 triệu công ty và hơn 250 triệu người dùng. Như vậy, nó hoạt động như một bài hát báo động cho các cybercrook.

Theo một báo cáo năm 2022, "Chống Lừa đảo: Quan điểm của Lãnh đạo CNTT, ”85% tổ chức sử dụng Microsoft 365 đã báo cáo là nạn nhân của lừa đảo trong 12 tháng qua, với 40% tổ chức trở thành nạn nhân của hành vi trộm cắp thông tin xác thực.

Bell nói: “Microsoft O365 và Outlook được sử dụng bởi khoảng 1 triệu công ty, vì vậy rất có thể nạn nhân của họ và tổ chức của nạn nhân sử dụng các dịch vụ này. “Với số lượng tài khoản cao như vậy, tin tặc có cơ hội tốt hơn để tiếp cận các mục tiêu có trình độ nhận thức công nghệ thấp, những người có nhiều khả năng bị tấn công hơn”.

Microsoft 365 lừa đảo cũng là các vectơ tấn công phổ biến vì sự pha trộn với các hoạt động bình thường trong ngày làm việc, Kron lưu ý.

Ông giải thích: “Chúng tôi dành rất nhiều thời gian trong ngày làm việc của mình ở chế độ lái tự động, thực hiện các nhiệm vụ lặp đi lặp lại gần như tự động, miễn là các nhiệm vụ được mong đợi. “Chỉ khi có điều gì đó bất ngờ xảy ra, mọi người mới có xu hướng để ý và áp dụng tư duy phản biện. Đối với nhiều người trong chúng ta, hành động đăng nhập vào cổng O365 không phải là bất thường đến mức khiến chúng ta nghi ngờ. Nhiều khi mọi người đăng nhập vào những cổng thông tin giả mạo này, phần mềm đánh cắp thông tin xác thực sẽ vô hình chuyển tiếp thông tin đến cổng thông tin đăng nhập hợp pháp dẫn đến đăng nhập thành công và nạn nhân không bao giờ biết rằng họ đã bị lừa ”.

Làm thế nào CISO có thể bảo vệ chống lại kỹ thuật xã hội

Các nhà nghiên cứu cho biết, có những thách thức đáng kể đối với CISO trong việc ngăn chặn loại véc tơ đe dọa này, chủ yếu là do không thể vá bản chất con người. Mà nói, đào tạo người dùng khuyến khích nhân viên thực hiện các biện pháp bảo vệ cơ bản, chẳng hạn như kiểm tra URL trước khi đăng nhập, có thể là một chặng đường dài.

Kron nói: “Chúng ta phải đối mặt với thực tế là các cuộc tấn công kỹ thuật xã hội, bao gồm lừa đảo, lừa đảo và đánh lừa, luôn tồn tại ở đây. “Lừa đảo gần như đã phổ biến kể từ khi bắt đầu sử dụng email, và thiệt hại gây ra và tổn thất phải chịu chỉ đơn giản là quá cao để có thể bỏ qua, trong khi hy vọng điều tốt nhất. Các CISO cần hiểu những rủi ro này và nhân viên cần hiểu rằng trong thế giới hiện đại của chúng ta, nơi mọi người đều sử dụng máy tính và xử lý thông tin theo một cách nào đó, an ninh mạng là một phần công việc của mọi người và sẽ là công việc trong tương lai gần ”.

Ngoài phương pháp hay nhất cơ bản này, CISO cũng nên thực hiện các bước công nghệ back-end để điền vào khi mọi người mắc lỗi, như họ chắc chắn sẽ làm. Và điều này sẽ vượt ra ngoài các bộ lọc cổng email an toàn tiêu chuẩn, theo Bell.

Bà khuyên: “Để thực sự giảm thiểu rủi ro, các tổ chức cần có công nghệ phù hợp. “Các CISO cần đánh giá ngăn xếp bảo mật của họ, đảm bảo rằng họ đang tăng cường các nền tảng email của mình bằng các lớp bảo vệ bổ sung để đảm bảo rằng mọi người và dữ liệu của họ được bảo vệ. Công nghệ nên hợp tác với nhân viên để giúp họ xác định ngay cả những cuộc tấn công tinh vi nhất, đảm bảo rằng thông tin đăng nhập và tài khoản email không thể bị xâm phạm bởi các tác nhân đe dọa. "

Kron đề xuất một cách tiếp cận phòng thủ thông thường kết hợp cả công nghệ và đào tạo.

Ông nói: “Đối với các CISO không nhận ra điều này và cố gắng chống lại các cuộc tấn công này bằng các công cụ kỹ thuật thuần túy, tỷ lệ thành công là khá thấp. “Đối với các CISO hiểu rằng các cuộc tấn công này đang khai thác các lỗ hổng của con người và triển khai kết hợp các biện pháp kiểm soát kỹ thuật cũng như giải quyết vấn đề con người thông qua giáo dục và đào tạo, kết quả thường tốt hơn nhiều”.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.