• Microsoft 365's "Direct Send" functie misbruikt in nieuwe phishing tactiek

Microsoft 365's "Direct Send" functie misbruikt in nieuwe phishing tactiek

door

Laatst bijgewerkt:
3 leestijd: 3 minuten
Microsoft 365's "Direct Send" functie misbruikt in nieuwe phishing tactiek

Belangrijkste Conclusies

  • Cybercriminelen misbruiken Microsoft 365's Direct Send om phishing-e-mails te versturen die SPF-, DKIM- en DMARC-controles omzeilen.
  • De aanval doet zich voor als interne accounts via een legitieme functie die bedoeld is voor interne apparaten, waardoor beveiligingsfilters worden omzeild.
  • De payloads omvatten QR-codes en HTML-bijlagen waarmee referenties worden gestolen, waarbij sommige aanvallen worden getraceerd naar buitenlandse IP-adressen.
  • Beschermingsmaatregelen: Reject Direct Send inschakelen, strikte DMARC afdwingen, headerstempeling gebruiken en mislukte controles in quarantaine plaatsen.

Cybercriminelen maken misbruik van de Direct Send-functie van Microsoft 365 om zeer overtuigende phishing-e-mails af te leveren die afkomstig lijken te zijn van vertrouwde interne gebruikers, waarbij standaard verificatiecontroles van e-mails zoals SPF, DKIM en DMARC..

SPF-DKIM-DMARC

De exploit werd gedocumenteerd door onderzoekers bij StrongestLayer nadat aanvallers met succes een van hun klanten hadden aangevallen.

Hoe werkt de Microsoft Direct Send Phishing-aanval?

De aanval maakt misbruik van een legitieme functie die is ontworpen om printers, scanners en interne systemen te helpen bij het verzenden van berichten zonder complexe authenticatie. Door zich voor te doen als interne accounts, omzeilen aanvallers veel beleidsgebaseerde controles die normaal gesproken externe berichten screenen. Microsoft Defender en beveiligde e-mailgateways van derden te omzeilen. Dit is vooral van invloed op Microsoft 365/Exchange Online implementaties; zelfs omgevingen waar gebruikers Office 2024 als hun desktop suite gebruiken kunnen worden beïnvloed als Direct Send ingeschakeld blijft op de maillaag.

Zodra het vertrouwen in de interne communicatie van de beoogde organisatie is misbruikt, kunnen aanvallers een reeks kwaadaardige inhoud leveren, van op QR-codes gebaseerde payloads tot HTML-bijlagen, waarmee inloggegevens worden verzameld zonder dat de gebruikelijke beveiligingsmaatregelen worden geactiveerd. In één gedocumenteerd geval waren phishing-e-mails afkomstig van IP-adressen in Oekraïne en Frankrijk, maar werden ze toch verwerkt als vertrouwd verkeer.

Preventieve maatregelen

Microsoft heeft opties geïntroduceerd voor organisaties om aangepaste headerstempels en quarantainebeleidsregels toe te passen voor berichten die ten onrechte beweren intern te zijn. Beveiligingsexperts raden ook aan om Microsoft's instelling Direct verzenden weigeren in te schakelen en een strikt DMARC-beleiden e-mail in quarantaine te plaatsen als de echtheidscontroles mislukken.

Laatste woorden

Proactieve verdediging is niet langer optioneel, vooral wanneer aanvallers vertrouwde systemen misbruiken om traditionele beveiliging te omzeilen. Door Microsoft 365 hardening maatregelen te combineren met geavanceerde authenticatie handhaving, kunnen organisaties hun blootstelling aan deze tactieken drastisch verminderen.

Met het DMARC-beheerplatform van PowerDMARC kunt u een strikt verificatiebeleid implementeren en handhaven, pogingen tot spoofing in realtime bewaken en phishing-aanvallen stoppen voordat ze uw gebruikers bereiken. Neem vandaag nog contact op vandaag nog om een gratis demo in te plannen of met een expert te spreken!

FAQs

Wat is Microsoft 365 Direct Send?
Het is een functie van Microsoft 365 waarmee apparaten en applicaties binnen een organisatie e-mail kunnen verzenden zonder ingewikkelde authenticatie, bedoeld voor interne communicatie.

Waarom wordt deze functie door aanvallers misbruikt?
De functie 'Direct Send' maakt het mogelijk om berichten te versturen zonder authenticatie. Hierdoor kunnen aanvallers e-mails doen lijken alsof ze intern zijn verzonden, waardoor ze veel beveiligingscontroles kunnen omzeilen.

Hoe kunnen organisaties zich beschermen?
Schakel de functie 'Reject Direct Send' in, implementeer header stamping, handhaaf een strikt DMARC-beleid en plaats berichten die de authenticiteitscontrole niet doorstaan in quarantaine.

Welke sectoren lopen het grootste risico?
Recente activiteiten waren vooral gericht op financiële dienstverleners, productiebedrijven en zorginstellingen in de VS.