Jak oszustwa phishingowe wykorzystują Office 365 do atakowania firm ubezpieczeniowych

Wiadomości

Nasi analitycy bezpieczeństwa z PowerDMARC odkryli nową falę e-maili phishingowych skierowanych do wiodących firm ubezpieczeniowych na Bliskim Wschodzie.

przez Ahona Rudra

Ostatnia aktualizacja:
4 czas czytania: 4 minuty
Jak oszustwa phishingowe wykorzystują Office 365 do atakowania firm ubezpieczeniowych
Spis treści-

Poczta elektroniczna jest często pierwszym wyborem cyberprzestępców podczas uruchamiania, ponieważ jest tak łatwa do wykorzystania. W przeciwieństwie do ataków brute-force, które wymagają dużej mocy obliczeniowej, lub bardziej wyrafinowanych metod, które wymagają wysokiego poziomu umiejętności, spoofing domeny może być tak prosty, jak napisanie wiadomości e-mail podszywającej się pod kogoś innego. W wielu przypadkach tym "kimś innym" jest główna platforma usług oprogramowania, na której ludzie polegają w swojej pracy.

Tak właśnie stało się między 15 a 30 kwietnia 2020 r., kiedy to nasi analitycy bezpieczeństwa z PowerDMARC odkryli nową falę wiadomości phishingowych skierowanych do wiodących firm ubezpieczeniowych na Bliskim Wschodzie. Atak ten był tylko jednym z wielu innych w ostatnim wzroście liczby przypadków phishingu i spoofingu podczas kryzysu Covid-19. Już w lutym 2020 r. inne poważne oszustwo phishingowe posunęło się tak daleko, że podszyło się pod Światową Organizację Zdrowia, wysyłając e-maile do tysięcy osób z prośbą o darowizny na pomoc w związku z koronawirusem.

 

Kluczowe wnioski

  1. Email spoofing jest metodą łatwą do wykorzystania przez cyberprzestępców, często atakujących zaufane organizacje.
  2. Niedawne ataki phishingowe podszywały się pod renomowane serwisy, wykorzystując zaufanie użytkowników do tych platform.
  3. Wiadomości phishingowe mogą wyglądać na rutynowe i legalne, co utrudnia użytkownikom zidentyfikowanie ich jako fałszywych.
  4. Mechanizmy uwierzytelniania oparte na domenie, takie jak DMARC, są niezbędne do ochrony przed fałszowaniem wiadomości e-mail i atakami phishingowymi.
  5. Organizacje muszą nadać priorytet bezpieczeństwu poczty elektronicznej, aby utrzymać zaufanie i chronić swoją reputację przed cyberzagrożeniami.

W ostatniej serii incydentów użytkownicy usługi Office 365 firmy Microsoft otrzymywali wiadomości e-mail, które wyglądały jak rutynowe wiadomości aktualizacyjne dotyczące stanu ich kont użytkowników. Wiadomości te pochodziły z domen ich organizacji i zawierały prośbę o zresetowanie haseł lub kliknięcie na linki w celu wyświetlenia oczekujących powiadomień.

Stworzyliśmy listę niektórych z zaobserwowanych przez nas tytułów emaili, które były używane:

  • Nietypowa aktywność logowania na konto Microsoft
  • Masz (3) wiadomości oczekujące na doręczenie na swojej poczcie elektronicznej [email protected]* Portal !
  • user@domain Masz oczekujące komunikaty Microsoft Office UNSYNC
  • Powiadomienie zbiorcze o ponownej aktywacji dla [email protected]

Uprość bezpieczeństwo z PowerDMARC!

15-dniowy trialZamów demo

*dane konta zostały zmienione dla prywatności użytkowników

Możesz również zobaczyć przykładowy nagłówek maila użytego w wiadomości spoofed wysłanej do firmy ubezpieczeniowej:

Odebrano: z [malicious_ip] (helo= złośliwa_domena)

Id 1jK7RC-000uju-6x

dla [email protected]; Thu, 02 Apr 2020 23:31:46 +0200

DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;

Odebrano: od [xxxx] (port=58502 helo=xxxxx)

przez złośliwa_domena z esmtpsa (TLSv1.2:ECDHE-RSA-AES2 56-GCM-SHA384:256)

Od: "Zespół ds. kont Microsoft" 

Do: [email protected]

Przedmiot: Powiadomienie Microsoft Office dla [email protected] w dniu 4/1/2020 23:46

Data: 2 kwietnia 2020 22:31:45 +0100

Message-ID: <[email protected]>

MIME-Version: 1.0

Content-Type: text/html;

charset="utf-8″

Content-Transfer-Encoding: quoted-printable

X-AntiAbuse: Ten nagłówek został dodany w celu śledzenia nadużyć, prosimy o dołączenie go do każdego zgłoszenia nadużycia

X-AntiAbuse: Primary Hostname - złośliwa_domena

X-AntiAbuse: Original Domain -. domena.com

X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]

X-AntiAbuse: Adres nadawcy Domena - domena.com

X-Get-Message-Sender-Via: malicious_domain: authenticated_id: admin@malicious_domain

X-Authenticated-Sender: malicious_domain: admin@malicious_domain

X-Source: 

X-Source-Args: 

X-Source-Dir: 

Received-SPF: fail ( domain of domain.com nie wyznacza złośliwy_ip_adres jako dozwolonego nadawcy) client-ip= złośliwy_ip_adres ; envelope-from=[email protected]; helo=złośliwa_domena;

X-SPF-Result: domena domena.com nie wyznacza złośliwy_ip_adres jako dozwolonego nadawcy

X-Sender-Warning: Reverse DNS lookup failed for złośliwy_ip_adres (failed)

X-DKIM-Status: brak / / domena.com / / /

X-DKIM-Status: pass / / złośliwa_domena / złośliwa_domena / default

 

Nasze Centrum Operacji Bezpieczeństwa prześledziło linki do wiadomości e-mail z phishingowymi adresami URL, które były skierowane do użytkowników Microsoft Office 365. Te adresy URL przekierowywały do zagrożonych witryn w różnych miejscach na świecie.

Patrząc tylko na tytuły tych wiadomości, nie sposób stwierdzić, że zostały one wysłane przez kogoś, kto podszywa się pod domenę Twojej organizacji. Jesteśmy przyzwyczajeni do stałego strumienia wiadomości e-mail związanych z pracą lub kontem, które nakłaniają nas do zalogowania się do różnych usług online, takich jak Office 365. Spofing domen wykorzystuje ten fakt, sprawiając, że fałszywe, złośliwe wiadomości e-mail są nie do odróżnienia od prawdziwych. Praktycznie nie ma sposobu, aby dowiedzieć się, bez dokładnej analizy wiadomości e-mail, czy pochodzi ona z zaufanego źródła. A przy dziesiątkach maili przychodzących do nas codziennie, nikt nie ma czasu na dokładne sprawdzanie każdego z nich. Jedynym rozwiązaniem byłoby zastosowanie mechanizmu uwierzytelniania, który sprawdzałby wszystkie e-maile wysyłane z Twojej domeny i blokował tylko te, które zostały wysłane przez kogoś, kto wysłał je bez autoryzacji.

Ten mechanizm uwierzytelniania nazywa się DMARC. Jako jeden z wiodących dostawców rozwiązań bezpieczeństwa poczty elektronicznej na świecie, w PowerDMARC postawiliśmy sobie za cel uświadomienie Ci, jak ważna jest ochrona domeny Twojej organizacji. Nie tylko dla siebie, ale dla wszystkich, którzy ufają i polegają na Tobie w kwestii dostarczania bezpiecznych, niezawodnych wiadomości e-mail do ich skrzynek odbiorczych, za każdym razem.

O zagrożeniach związanych ze spoofingiem można przeczytać tutaj: https://powerdmarc.com/stop-email-spoofing/

Dowiedz się, jak możesz chronić swoją domenę przed spoofingiem i wzmocnić swoją markę tutaj: https://powerdmarc.com/what-is-dmarc/

Latest posts by Ahona Rudra (zobacz wszystkie)
Ostatnia aktualizacja:
PowerDMARC współpracuje z CyberSecOn, uruchamia nowe operacje w Australii, Nowym...cyberseconali saqibPowerDMARC wita dr Saqib Ali w roli członka Rady Doradczej