İkna edici ve devam eden bir dizi kimlik avı saldırısı, alıcılardan engellenen spam iletileri gözden geçirmelerini isteyen sahte Office 365 bildirimleri kullanıyor ve son olarak Microsoft kimlik bilgilerini çalıyor.
Bu kimlik avı e-postalarını özellikle ikna edici kılan şey karantina kullanımıdır[at]Bunları olası hedeflere ve alıcıların etki alanlarıyla eşleşen görünen ada göndermek için messaging.microsoft.com.
Ayrıca, saldırganlar resmi Office 365 logosunu katıştırmış ve e-postanın sonuna Microsoft’un gizlilik bildirimine ve kabul edilebilir kullanım ilkesine bağlantılar eklenmiştir.
Neyse ki, kimlik avı mesajları, metin biçimlendirme sorunları ve bu e-postaların kötü amaçlı doğasını daha yakından incelemeye tabi tılacağı yersiz ekstra alanlarla birlikte gelir.
Bu kampanyayı tespit eden bulut e-posta güvenlik sağlayıcısı MailGuard, “E-posta konusu, alıcıya bir spam mesajının engellendiğini ve gözden geçirmeleri için karantinada tutulduğunu bildiren e-postanın gövdesine atıfta bulunan ‘Spam Bildirimi: 1 Yeni Mesaj’dır.” Söyledi.
“‘Engellenen spam mesajı’nın ayrıntıları, dolandırıcıların konuyu ‘ olarak kişiselleştirmesiyle birlikte verilmiştir.[company domain] Ayarlama: Aciliyet hissi yaratmak ve finansla ilgili bir mesaj kullanmak için İşlem Giderleri Q3 UPDATE’.”
Hedeflere, katıştırılmış bir bağlantıya tıklayarak Microsoft’un Güvenlik ve Uyumluluk Merkezi’ne giderek karantinaya alınan iletileri gözden geçirmeleri için 30 gün verilir.
Ancak, ‘Gözden Geçir’ düğmesine tıkladığınızda Office 365 portalına ulaşmak yerine, karantinaya alınan spam iletilerine erişmek için Microsoft kimlik bilgilerini girmelerini isteyecek bir kimlik avı açılış sayfasına gönderilir.
Kimlik bilgilerini kimlik avı sayfasında görüntülenen kötü amaçlı forma girdikten sonra, hesaplarının ayrıntıları saldırgan tarafından denetlenen sunuculara gönderilir.
Bu hilelerin kurbanı olurlarsa, kurbanların Microsoft kimlik bilgileri daha sonra siber suçlular tarafından hesaplarının kontrolünü ele geçirmek ve tüm bilgilerine erişmek için kullanılacaktır.
MailGuard, “Microsoft hesap bilgilerinizi siber suçlulara sağlamak, iletişim bilgileri, takvimler, e-posta iletişimleri ve daha fazlası gibi hassas verilerinize yetkisiz erişime sahip oldukları anlamına gelir”, diye ekledi.
Kimlik avı saldırıları için çekici hedef
Office 365 kullanıcıları, kimlik bilgilerini toplamaya ve bunları sahte düzenlerde kullanmaya çalışan kimlik avı kampanyalarında sürekli olarak hedeflenir.
Microsoft Ağustos ayında açıkladı Office 365 müşterilerini hedefleyen son derece kaçamak zıpkınla kimlik avı kampanyası Temmuz 2020’den itibaren birden fazla saldırı dalgasında.
Mart ayında şirket, bir kimlik avı operasyonu konusunda da uyardı. yaklaşık 400.000 OWA ve Office 365 kimlik bilgilerini çaldı Aralık 2020’den bu yana ve daha sonra güvenli e-posta ağ geçitleri (SEG’ ler) korumalarını atlatmak için yeni meşru hizmetleri kötüye kullanmak için genişletildi.
Ocak ayı sonlarında, Redmond daha fazla bilgilendirildi Microsoft Defender ATP aboneleri uzak çalışanları hedef alan artan sayıda OAuth kimlik avı (izin kimlik avı) saldırısı.
Başarılı olursa, kimlik avı saldırılarının etkisi, İş E-postası Güvenliği (BEC) saldırıları dahil ancak bunlarla sınırlı olmamak üzere kimlik hırsızlığı ve dolandırıcılık planlarından farklılıktadır.
Örneğin, geçen yıldan bu yana FBI, BEC dolandırıcılarının Microsoft Office 365 ve Google G Suite de dahil olmak üzere popüler bulut e-posta hizmetlerini kötüye kullandığı konusunda uyardı. Mart ve Nisan 2020.
ABD Federal Ticaret Komisyonu (FTC) da kimlik hırsızlığı ihbarlarının sayısı geçen yıl ikiye katlandı 2019 yılına kıyasla tek bir yıl içinde 1,4 milyon rapora ulaşarak rekor kırdı.