Spearphishing Attack giả mạo Microsoft.com để nhắm mục tiêu vào 200 triệu người dùng Office 365

Spearphishing Attack giả mạo Microsoft.com để nhắm mục tiêu vào 200 triệu người dùng Office 365

09-12-2020 Lượt xem: 1,118

Một cuộc tấn công thương mại giả mạo Microsoft.com để nhắm mục tiêu vào 200 triệu người dùng Microsoft Office 365 tại một số thị trường ngành dọc quan trọng bao gồm các nhà cung cấp dịch vụ tài chính, chăm sóc sức khỏe, sản xuất và tiện ích.

Lomy Ovadia, phó chủ tịch nghiên cứu và phát triển của Ironscales cho biết trong một báo cáo trực tuyến rằng các nhà nghiên cứu tại Ironscales đã phát hiện ra chiến dịch nhắm mục tiêu hàng ngàn hộp thư khách hàng của công ty bảo mật email. Các ngành công nghiệp khác đang được nhắm mục tiêu bao gồm các công ty viễn thông và bảo hiểm.

Cuộc tấn công lừa đảo đặc biệt vì nó triển khai một kỹ thuật giả mạo tên miền chính các, Ovadia viết “nó xảy ra khi một email được gửi từ một tên miền lừa đảo trùng khớp chính xác với tên miền của thương hiệu bị giả mạo”. Điều này có nghĩa là ngay cả những người dùng hiểu biết, những người kiểm tra địa chỉ người gửi để đảm bảo là email hợp pháp cũng có thể bị đánh lừa.

Việc tại sao Microsoft cho phép giả mạo tên miền của mình dựa trên cơ sở hạ tầng của chính mình vẫn gây nên sự tò mò

Theo báo cáo, cuộc tấn công bao gồm một email trông giống thật nhằm thuyết phục người dùng tận dụng khả năng tương đối mới của Office 365 cho phép họ lấy lại các email đã vô tình bị đánh dấu là thư rác hoặc thư lừa đảo. Thư đến từ người gửi là Microsoft Outlook.

Cũng theo Ovadia: “Thông điệp lừa đảo bao gồm ngôn ngữ khẩn cấp và có phần gây sợ hãi nhằm thuyết phục người dùng nhấp vào một liên kết độc hại mà không do dự. Như được phỏng đoán trong thông báo, liên kết sẽ chuyển hướng người dùng đến một cổng bảo mật mà trong đó họ có thể xem xét và thực hiện hành động đối với thông báo đã cách ly được ghi lại bởi ngăn xếp lọc Exchange Online Protection (EOP)”.

Theo Ironscales, khi người dùng nhấp vào liên kết, họ sẽ được yêu cầu nhập thông tin đăng nhập Office 365 hợp pháp trên trang đăng nhập giả mạo do những kẻ tấn công kiểm soát để thu hoạch và có khả năng bán trên web đen.

Một khía cạnh thú vị của chiến dịch là thành công của nó trong việc vượt qua các kiểm soát cổng email an toàn  (SEG). Thông thường, các giả mạo tên miền chính xác không quá khó để phát hiện, công ty đã phát hiện ra trong nghiên cứu trước đây rằng chiến thuật này được thể hiện dưới 1% tổng số các cuộc tấn công giả mạo vượt qua SEG trong một năm nhất định.

Ovadia lưu ý: “Ngay cả các công cụ bảo mật email kế thừa và không phải đám mây gốc cũng khá hiệu quả trong việc ngăn chặn các loại tấn công này. Sở di, SEG theo truyền thống có thể ngăn chặn việc giả mạo tên miền chính xác là vì khi được định cấu hình chính xác, điều khiển này tuân thủ xác thực, báo cáo và tuân thủ thông báo dựa trên tên miền (DMARC), một giao thức xác thực email được xây dựng đặc biệt để ngăn việc giả mạo tên miền chính xác”.

Tuy nhiên, Ironscales nhận thấy rằng các máy chủ của Microsoft hiện không thực thi giao thức DMARC mà các thông báo giả mạo tên miền chính xác nhận được thông qua các điều khiển như Office 365 EOP và Advanced Threat Protection.

Ovadia viết: “Bất kỳ dịch vụ email nào khác tôn trọng và thực thi DMARC sẽ chặn những email như vậy. Vẫn chưa rõ tại sao Microsoft lại cho phép giả mạo tên miền của mình dựa trên cơ sở hạ tầng email của chính mình”.

Việc này đặc biệt gây tò mò vì Microsoft thường là một trong những tên miền hàng đầu nếu không muốn nói là tên miền hàng đầu bị tin tặc bắt chước trong các chiến dịch lừa đảo.

Để giảm thiểu các cuộc tấn công, Ironscales khuyên các tổ chức nên định dạng hệ thống bảo vệ và bảo về email của họ DMARC, hệ thống này sẽ phát hiện và từ chối các email đến từ chiến dịch Office 365 mới nhất.

Ovadia nói thêm: “Bảo mật email cấp hộp thư nâng cao liên tục nghiên cứu hộp thư đến của mọi nhân viên để phát hiện những điểm bất thường dựa trên cả dữ liệu email và siêu dữ liệu được trích xuất từ các liên lạc đáng tin cậy trước đây có thể giúp ngăn chặn các email giả mạo lọt qua lỗ hổng”.

 

Bài viết liên quan


0913.111111

Chỉ đường

Chat FB

Chat Zalo

0913.111111