• Как фишинговые мошенничества используют Office 365 для целевых страховых компаний

Как фишинговые мошенничества используют Office 365 для целевых страховых компаний

Новости

Наши аналитики по безопасности из PowerDMARC обнаружили новую волну фишинговых писем, направленных на ведущие страховые компании на Ближнем Востоке.

Ахона Рудра

Последнее обновление:
4 Время чтения: 4 минуты
Как фишинговые мошенничества используют Office 365 для целевых страховых компаний
Оглавление-

Электронная почта часто становится первым выбором киберпреступников, потому что ее так легко использовать. В отличие от брутфорс-атак, требующих больших вычислительных мощностей, или более сложных методов, требующих высокого уровня мастерства, подмена домена может быть простой задачей - написать письмо, выдавая себя за другого человека. Во многих случаях этим "кем-то" является крупная платформа программного обеспечения, на которую люди полагаются в своей работе.

Именно это и произошло в период с 15 по 30 апреля 2020 года, когда наши аналитики по безопасности из PowerDMARC обнаружили новую волну фишинговых писем, направленных на ведущие страховые компании на Ближнем Востоке. Эта атака стала лишь одной из многих других в связи с участившимися случаями фишинга и спуфинга во время кризиса Covid-19. Еще в феврале 2020 года другая крупная фишинговая афера дошла до того, что выдавала себя за Всемирную организацию здравоохранения, рассылая электронные письма тысячам людей с просьбой о пожертвованиях на помощь жертвам коронавируса.

 

Ключевые выводы

  1. Подмена электронной почты - легко используемый злоумышленниками метод, часто направленный на доверенные организации.
  2. Недавние фишинговые атаки выдавали себя за авторитетные сервисы, пользуясь доверием пользователей к этим платформам.
  3. Фишинговые письма могут выглядеть обычными и легитимными, поэтому пользователям трудно распознать в них мошенничество.
  4. Механизмы аутентификации на основе домена, такие как DMARC, необходимы для защиты от подделки электронной почты и фишинговых атак.
  5. Организации должны уделять приоритетное внимание безопасности электронной почты, чтобы сохранить доверие и защитить свою репутацию от киберугроз.

В этой недавней серии инцидентов пользователи службы Microsoft Office 365 получали, казалось бы, обычные сообщения с обновлениями, касающимися состояния их пользовательских учетных записей. Эти сообщения приходили с собственных доменов организаций, предлагая пользователям сбросить свои пароли или переходить по ссылкам для просмотра ожидающих обновления уведомлений.

Мы составили список некоторых почтовых заголовков, которые мы наблюдали:

  • необычные действия при входе в систему Microsoft
  • У вас есть (3) сообщения, ожидающие доставки на вашу электронную почту [email protected]* Портал!
  • user@domain You Have Pending Microsoft Office UNSYNC Messages
  • Повторная активация Сводное уведомление для [email protected].

Упростите безопасность с помощью PowerDMARC!

15-дн. пр. версияЗаказать демо

* данные аккаунта изменены для обеспечения конфиденциальности пользователей

Вы также можете просмотреть образец почтового заголовка, используемого в поддельном письме, отправленном в страховую компанию:

Получено: из [вредоносный_ип(привет= злоумышленное_домен)

id 1jK7RC-000uju-6x

для [email protected]; Thu, 02 Apr 2020 23:31:46 +0200

DKIM-подпись: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;

Получено: из [xxxxx] (порт=58502 helo=xxxxx)

по адресу злоумышленное_домен с esmtpsa (TLSv1.2:ECDHE-RSA-AES2) 56-ГКМ-ША384:256)

От: "Команда по работе с учетными записями Microsoft" 

За: [email protected]

Объект: Уведомление Microsoft Office для [email protected] по телефону 4/1/2020 23:46.

Дата: 2 апреля 2020 22:31:45 +0100

Message-ID: <[email protected]>

MIME-Version: 1.0

Content-Type: text/html;

символ="utf-8″

Контент-трансфер-Обновление: цитируемый текст для печати

X-AntiAbuse: Этот заголовок был добавлен для отслеживания злоупотреблений, пожалуйста, включите его в любое сообщение о злоупотреблениях.

X-AntiAbuse: Имя основного хоста - злоумышленное_домен

X-AntiAbuse: Original Domain - домен.com

X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]

X-AntiAbuse: Адрес отправителя Домен - domain.com

X-Get-Message-Sender-Via: злоумышленный_домен: authenticated_id: admin@malicious_domain

Аутентифицированный отправитель: malicious_domain: admin@malicious_domain

Икс-источник: 

X-Source-Args: 

X-Source-Dir: 

Received-SPF: fail ( домен domain.com не обозначает вредоносный_ip_адрес как разрешенный отправитель) клиент-ip= вредоносный_ip_адрес конверт от=[email protected]аллозлоумышленное_домен;

X-SPF-Result: домен domain.com не обозначает вредоносный_ip_адрес разрешённый отправитель

X-Sender-Warning: Обратный просмотр DNS не удался для вредоносный_ip_адрес (не удалось)

X-DKIM-статус: нет / / домен.com / / /

X-DKIM-статус: проездной / / злоумышленное_домен / злоумышленное_домен / / по умолчанию

 

Наш центр управления безопасностью отследил ссылки электронной почты на фишинговые URL-адреса, предназначенные для пользователей Microsoft Office 365. Эти URL-адреса были перенаправлены на зараженные сайты в различных местах по всему миру.

Просто посмотрев на эти почтовые заголовки, невозможно будет сказать, что их отправил кто-то, подделывающий домен вашей организации. Мы привыкли к постоянному потоку рабочих или связанных с учетными записями писем, предлагающих нам войти в различные онлайн-сервисы, такие как Office 365. Подделка домена использует это, делая их фальшивые, вредоносные электронные письма неотличимыми от подлинных. Практически невозможно узнать, без тщательного анализа электронной почты, поступает ли она из доверенного источника. А с десятками писем, приходящих каждый день, ни у кого нет времени на тщательный анализ каждого из них. Единственным решением будет использование механизма аутентификации, который будет проверять все письма, отправленные с вашего домена, и блокировать только те письма, которые были отправлены кем-то, кто отправил их без авторизации.

Этот механизм аутентификации называется DMARC. Будучи одним из ведущих мировых поставщиков решений для обеспечения безопасности электронной почты, мы в PowerDMARC поставили перед собой задачу заставить вас понять важность защиты домена вашей организации. Не только для себя, но и для всех, кто доверяет вам и зависит от вас в доставке безопасных и надежных электронных писем в их почтовый ящик.

О рисках спуфинга можно прочитать здесь: https://powerdmarc.com/stop-email-spoofing/.

Узнайте, как защитить свой домен от подделок и повысить бренд, здесь: https://powerdmarc.com/what-is-dmarc/.

Последние сообщения Ахона Рудра (см. все)
Последнее обновление:
PowerDMARC в партнерстве с CyberSecOn запускает новые операции в Австралии, Новые...киберсекундуали сакибPowerDMARC приветствует д-ра Сакиба Али в качестве нового члена Консультативного совета.