Функция Microsoft 365 "Прямая отправка" используется в новой фишинговой атаке
Последнее обновление:
3 Время чтения: 3 мин
Ключевые выводы
- Киберпреступники используют функцию прямой отправки Microsoft 365 для отправки фишинговых писем, которые обходят проверки SPF, DKIM и DMARC.
- Атака выдает себя за внутренние учетные записи через легитимную функцию, предназначенную для внутренних устройств, обходя фильтры безопасности.
- В качестве полезной нагрузки используются QR-коды и HTML-вложения, похищающие учетные данные, причем некоторые атаки были отслежены на зарубежных IP-адресах.
- Меры защиты: включите функцию "Отклонить прямую отправку", обеспечьте строгий DMARC, используйте штамп заголовка и поместите неудачные проверки в карантин.
Киберпреступники используют функцию прямой отправки Microsoft 365 для доставки очень убедительных фишинговых писем, которые кажутся исходящими от доверенных внутренних пользователей, обходя стандартные проверки подлинности электронной почты, такие как SPF, DKIM и DMARC.
Эксплойт был задокументирован исследователями из StrongestLayer после того, как злоумышленники успешно атаковали одного из их клиентов.
Как работает фишинговая атака Microsoft Direct Send
Атака злоупотребляет законной функцией, призванной помочь принтерам, сканерам и внутренним системам отправлять сообщения без сложной аутентификации. Выдавая себя за внутренние учетные записи, злоумышленники обходят многие проверки на основе политик, которые обычно проверяют внешние сообщения, успешно обходя как Microsoft Defender и сторонних защищенных почтовых шлюзов. Особенно это касается развертываний Microsoft 365/Exchange Online; даже среды, в которых пользователи используют Office 2024 в качестве настольного пакета, могут быть затронуты, если прямая отправка остается включенной на почтовом уровне.
Как только внутреннее доверие к коммуникации целевой организации будет скомпрометировано, злоумышленники смогут доставить целый ряд вредоносных материалов, от QR-кодов до HTML-вложений, которые собирают учетные данные, не вызывая срабатывания обычных средств защиты. В одном задокументированном случае фишинговые электронные письма исходили с IP-адресов в Украине и Франции, но все равно обрабатывались как доверенный трафик.
Профилактические меры
Компания Microsoft представила организациям возможность применять пользовательские политики штамповки заголовков и карантина для сообщений, ложно утверждающих, что они являются внутренними. Эксперты по безопасности также рекомендуют включить параметр Microsoft "Отклонять прямую отправку настройку, применять строгой политики DMARCи помещать в карантин все письма, не прошедшие проверку подлинности.
Заключительные слова
Проактивная защита больше не является чем-то необязательным, особенно когда злоумышленники используют доверенные системы для обхода традиционных средств защиты. Комбинируя меры по укреплению Microsoft 365 с расширенным применением аутентификации, организации могут значительно снизить свою уязвимость к подобным тактикам.
Платформа управления DMARC от PowerDMARC поможет вам внедрить и поддерживать строгие политики аутентификации, отслеживать попытки подмены в режиме реального времени и пресекать фишинговые атаки до того, как они достигнут ваших пользователей. Свяжитесь с нами сегодня, чтобы запланировать бесплатную демонстрацию или поговорить с экспертом!
Вопросы и ответы
Что такое Microsoft 365 Direct Send?
Это функция Microsoft 365, позволяющая устройствам и приложениям в организации отправлять электронную почту без сложной проверки подлинности, предназначенная для внутренней коммуникации.
Почему ею злоупотребляют злоумышленники?
Функция прямой отправки позволяет отправлять сообщения без проверки подлинности. Таким образом, злоумышленники могут сделать электронные письма внутренними, обойдя множество проверок безопасности.
Как организации могут защитить себя?
Включите функцию Microsoft параметр "Отклонять прямую отправку настройку, развернуть штамп заголовка, применить строгую политику DMARC и поместить в карантин сообщения, не прошедшие проверку подлинности.
Какие отрасли подвергаются наибольшему риску?
В последнее время в США наибольшему риску подвергаются организации, работающие в сфере финансовых услуг, производства и здравоохранения.
Эксперт по безопасности доменов и электронной почты в PowerDMARC
Аона - менеджер по маркетингу в PowerDMARC, имеет более чем 5-летний опыт написания статей на темы кибербезопасности, специализируясь на безопасности доменов и электронной почты. Ахона получила диплом о высшем образовании по специальности "Журналистика и коммуникации", а с 2019 года начала работать в сфере безопасности.
Последние сообщения Ахона Рудра (см. все)
- Что такое DANE? Объяснение аутентификации именованных объектов на основе DNS (2026) - 20 апреля 2026 г.
- Основы безопасности VPN: лучшие практики по защите вашей конфиденциальности - 14 апреля 2026 г.
- Обзор MXtoolbox: функции, отзывы пользователей, плюсы и минусы (2026) - 14 апреля 2026 г.
