Nowa kampania phishingowa. Polowanie na użytkowników Office 365

Akcja phishingowa wycelowana w użytkowników Office 365 wykorzystuje wewnętrzną pocztę e-mail w celu pozyskania danych uwierzytelniających do usług Microsoft.

Użytkownicy usługi Office 365 już od dłuższego czasu są jednym z ulubionych celów ataków phishingowych. Tym razem jednak hakerzy wykorzystują nową wyrafinowaną metodę. Phishing jest doskonale znanym zjawiskiem i większość systemów bezpieczeństwa wychwytuje podejrzane wiadomości. Poza tym coraz więcej pracowników zwraca uwagę na adres nadawcy i odrzuca e-maile pochodzące z nieznanego źródła. Niemniej naukowcy z Abnormal Security natrafili na ślady ataku, w którym przestępcy włamują się na wewnętrzne konto w firmie, a następnie wykorzystują je do przeprowadzenia kampanii phishingowej. Niestety, wykrycie takiej wiadomości wysyłanej z wewnętrznego e-maila jest bardzo trudne. Wygląda ona na tyle wiarygodnie, że potrafi ominąć systemy bezpieczeństwa. Nawet przeszkoleni pracownicy mogą pomylić takiego e-maila z prawdziwym.

W przypadku wykrytym przez Abnormal Security napastnik przeprowadził atak z adresu IP znajdującego się w Wielkiej Brytanii, co jest podejrzane w tym przypadku, ponieważ prawdziwy nadawca nigdy nie wysyła z Wielkiej Brytanii, zaś adresat rzadko otrzymuje stamtąd e-maile. Natomiast sama treść informacji nie budzi większych wątpliwości, bowiem zawiera powiadomienie o oczekującym pliku OneDrive for Business. Co istotne, e-mail nie zawiera adresu URL, aby uniknąć podejrzeń. Jeśli adresat potwierdzi, że chce pobrać plik, zostaje przekierowany do kolejnej strony, gdzie pojawia się link VIEW ONLINE. Kiedy potencjalna ofiara połknie haczyk i kliknie łącze, przekierowywana jest do witryny phishingowej, gdzie oszuści proszą o podanie danych uwierzytelniających do usługi Office 365.

– Przeciwdziałanie phishingowi zwykle zaczyna się od przeszkolenia pracowników. Trzeba szczególnie uważać na każdą wiadomość, nawet pochodzącą z wewnątrz organizacji. Należy też zachować szczególną ostrożność, gdy ktoś pyta o poświadczenia. W razie jakichkolwiek wątpliwości zawsze można skontaktować się z działem IT. Warto też wdrażać produkty bezpieczeństwa cechujące się wysoką wykrywalnością ataków phishingowych. Szczególnie zachęcam do zapoznania się z badaniami przeprowadzanymi przez niezależną instytucje badawczą AV-Comparatives. Niedawno przeprowadziła ona „Anti-Phishing Test”, w którym nasz produkt Bitdefender Internet Security wykazałał się skutecznością w wykrywaniu incydentów na poziomie 98 proc. – tłumaczy Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce.