Hvordan phishing -svindel bruker Office 365 til å målrette mot forsikringsselskaper

forsikringsselskaper

E -post er ofte førstevalget for en nettkriminell når de lanseres fordi det er så enkelt å utnytte. I motsetning til brute-force-angrep som er tunge på prosessorkraft, eller mer sofistikerte metoder som krever et høyt ferdighetsnivå, kan domenespoofing være like enkelt som å skrive en e-post som later til å være noen andre. I mange tilfeller er 'noen andre' en viktig programvaretjenesteplattform som folk stoler på for å gjøre jobben sin.

Det er det som skjedde mellom 15. og 30. april 2020, da våre sikkerhetsanalytikere ved PowerDMARC oppdaget en ny bølge av phishing -e -poster rettet mot ledende forsikringsselskaper i Midtøsten. Dette angrepet har bare vært ett blant mange andre i den siste økningen av tilfeller av phishing og spoofing under Covid-19- krisen. Så tidlig som i februar 2020 gikk en annen stor phishing -svindel så langt som å etterligne Verdens helseorganisasjon, og sendte e -post til tusenvis av mennesker som ba om donasjoner for lindring av koronavirus.

I denne siste hendelsesserien mottok brukere av Microsofts Office 365 -tjeneste det som så ut til å være rutinemessige oppdaterings -e -poster om statusen til brukerkontoene. Disse e -postene kom fra organisasjonenes egne domener, og ba brukere om å tilbakestille passordene sine eller klikke på lenker for å se ventende varsler.

Vi har samlet en liste over noen av e -posttitlene vi observerte ble brukt:

*kontodetaljer endret for brukernes personvern

Du kan også se et eksempel på en e -postoverskrift som brukes i en forfalsket e -post sendt til et forsikringsselskap:

Mottatt: fra [ malicious_ip ] (helo = malicious_domain )

id 1jK7RC-000uju-6x

for [email protected]; Tor 2. april 2020 23:31:46 +0200

DKIM-signatur: v = 1; a = rsa-sha256; q = dns/txt; c = avslappet/avslappet;

Mottatt: fra [xxxx] (port = 58502 helo = xxxxx)

av malicious_domain med esmtpsa (TLSv1.2: ECDHE-RSA-AES2 56-GCM-SHA384: 256)

Fra: "Microsoft -kontoteam" 

Til: [email protected]

Emne: Microsoft Office -varsel for [email protected] den 1.4.2020 23:46

Dato: 2. april 2020 22:31:45 +0100

Message-ID: <[email protected]>

MIME-versjon: 1.0

Innholdstype: tekst/html;

tegnsett = ”utf-8”

Content-Transfer-Encoding: sitert-utskrivbar

X-AntiAbuse: Denne overskriften ble lagt til for å spore misbruk, vennligst inkluder den med en eventuell misbruksrapport

X-AntiAbuse: Primært vertsnavn- skadelig_domene

X-AntiAbuse: Original Domene - domain.com

X-AntiAbuse: Originator/Caller UID/GID-[47 12]/[47 12]

X-AntiAbuse: Avsenderadresse Domene - domain.com

X-Get-Message-Sender-Via: malicious_domain : authenticated_id: [email protected]_domain

X-Authenticated-Sender: malicious_domain: [email protected]_domain

X-kilde: 

X-Source-Args: 

X-Source-Dir: 

Mottatt-SPF: fail (domene på domain.com angir ikke malicious_ip_address som tillatt avsender) client-ip = malicious_ip_address ; konvolutt-fra = [email protected] ; helo = ondsinnet_domene ;

X-SPF-Resultat: domene på domain.com angir ikke malicious_ip_address som tillatt avsender

X-Sender-Advarsel: Omvendt DNS-oppslag mislyktes for malicious_ip_address (mislyktes)

X-DKIM-Status: none / / domain.com / / /

X-DKIM-Status: pass / / malicious_domain / malicious_domain / / default

 

Vårt sikkerhetsoperasjonssenter sporet e -postkoblingene til phishing -URLer som var rettet mot Microsoft Office 365 -brukere. Nettadressene omdirigeres til kompromitterte nettsteder på forskjellige steder rundt om i verden.

Bare ved å se på disse e -posttittlene, ville det være umulig å fortelle at de ble sendt av noen som forfalsket organisasjonens domene. Vi er vant til en jevn arbeidsstrøm eller kontorrelaterte e-poster som får oss til å logge på forskjellige onlinetjenester akkurat som Office 365. Domenespoofing utnytter det, noe som gjør at de falske, ondsinnede e-postene deres ikke kan skilles fra ekte. Det er praktisk talt ingen måte å vite, uten en grundig analyse av e -posten, om den kommer fra en pålitelig kilde. Og med dusinvis av e -postmeldinger som kommer hver dag, har ingen tid til å undersøke hver enkelt nøye. Den eneste løsningen ville være å bruke en autentiseringsmekanisme som kontrollerer all e -post som er sendt fra domenet ditt, og blokkerer bare de som ble sendt av noen som sendte den uten autorisasjon.

Denne godkjenningsmekanismen kalles DMARC. Og som en av de ledende leverandørene av sikkerhetsløsninger for e -post i verden, har vi i PowerDMARC gjort det til vårt oppdrag å få deg til å forstå viktigheten av å beskytte organisasjonens domene. Ikke bare for deg selv, men for alle som stoler på og er avhengig av at du leverer trygge, pålitelige e -poster i innboksen hver eneste gang.

Du kan lese om risikoen for spoofing her: https://powerdmarc.com/stop-email-spoofing/

Finn ut hvordan du kan beskytte domenet ditt mot forfalskning og øke merkevaren din her: https://powerdmarc.com/what-is-dmarc/

 

/av
du kommer kanskje også til å like
e -postforfalskning Hvordan utnytte e -postautentiseringsløsninger (SPF, DKIM og DMARC) for å stoppe e -postforfalskning?
Bruke DMARC for å sikre dine inaktive/parkerte domener
Slik forhindrer du e -postforfalskning Hvordan effektivt forhindre e -postforfalskning i 2021?
cybersecon PowerDMARC samarbeider med CyberSecOn, lanserer nye operasjoner i Australia, New Zealand
Er DMARC påkrevd Er DMARC påkrevd? 5 grunner til å implementere DMARC umiddelbart!
DMARC og skygge IT Hvordan DMARC bekjemper Shadow IT -sikkerhetsrisiko