Home Posty
Wideo Kampanie
Kapitan Hack
  • Home
  • Posty
  • Wideo
  • Kampanie
O kapitanie
Okiem eksperta
Kliknąć warto

SG prolimes

Wybrany post: Kampania phishingowa Office 365 atakuje konta administratorów

7 sierpnia 2019
azure
office 365
phishing
privileged account

Udany phishing na konto mailowe pracownika w organizacji może doprowadzić do poważnej infekcji złośliwym oprogramowaniem lub przejęciem konta przez cyberprzestępcę. Jednak oszukanie fałszywym mailem administratora firmy i zdobycie jego poświadczeń prowadzi do całkowitej kompromitacji. Atakujący są ostatnio aż tak bezpośredni, że kierują kampanie phishingowe prosto do administratorów, omijając tym samym całą ścieżkę ataku (Kill Chain) i licząc na zdobycie uprawnień administratora domeny w najprostszy możliwy sposób. Jak się okazuje – często skuteczny.

Oszuści używają do tego wiadomości przypominających maile od Customer Support Office 365 i podszywają się pod Microsoft. Wysyłają do adminów wiadomości z alarmami wymagającymi szybkiej reakcji, co wpływa na psychikę, wywiera presje i tym samym usypia czujność atakowanych osób.


Jak działają cyberprzestępcy?

Jednym z przykładów fałszywej wiadomości jest powiadomienie, że licencja Office 365 w organizacji wygasła i wymagane jest sprawdzenie płatności. Po kliknięciu w link zostaniemy przeniesieni do fałszywej strony Office 365 Admin Center i poproszeni o wpisanie poświadczeń w celu weryfikacji licencji. Jak się można domyślić, poświadczenia zostaną przechwycone i tym samym konto „admin” w organizacji przejęte.

Fałszywy email z informacją, że licencja Office 365 w organizacji wygasła
źródło: deepsecurity.news

Inna wiadomość w tej kampanii zawiera alarm z informacją, że ktoś uzyskał dostęp do skrzynki mailowej innej osoby. Dla administratora jest to pilna sprawa i z pewnością zareaguje na takie zdarzenie od razu bądź przekaże maila do działu bezpieczeństwa. W treści wiadomości również znajduje się link, w postaci przycisku „Investigate”, który przekierowuje do fałszywej strony logowania Office 365. Wiadomość na pierwszy rzut oka wygląda naprawdę legalnie i nie wzbudza podejrzeń.

Fałszywy email z alarmem dotyczącym nieautoryzowanego dostępu do skrzynki
źródło: deepsecurity.news

Jeśli administrator nabierze się na którąś wiadomość bądź zwyczajnie, w natłoku pracy nie wczyta się w nią dokładnie, trafi na fałszywą stronę logowania. Layout wygląda identycznie jak w przypadku Microsoft. Strona phishingowa hostowana jest w domenie Windows.net na platformie Azure, co daje dodatkowe punkty do zaufania.

Fałszywa strona logowania do Office 365
źródło: deepsecurity.news

Aby witryna była jeszcze bardziej przekonująca zabezpieczona jest certyfikatem od Microsoft.

To, co może wskazywać na podejrzliwość strony to adres www wygenerowany przez Azure maszynowo.

Jak się można domyślić, kiedy administrator da się oszukać i wpisze poświadczenia zostaną one skradzione przez hackera. Jeśli na koncie nie ma wymuszonej autoryzacji 2 stopniowej (2FA), to cyberprzestępca otrzymuje pełen dostęp do panelu administracyjnego Office 365 w organizacji.


Czy ktoś w ogóle się na to nabiera?

Pewnie myślisz, że żaden szanujący się administrator nie złapie się na phishing. Otóż okazuje się, że opisywana kampania zbiera całkiem spore żniwa. Głównie chodzi o mniejsze organizacje, w których administratorzy poczty czy Sharepoint’a nie są odpowiednio szkoleni.

Z drugiej strony, nawet starzy weterani w dużych korporacjach mogą w pośpiechu i natłoku obowiązków przeczytać wiadomość pobieżnie i często zbieg okoliczność spowoduje, że nie będą wystarczająco podejrzliwi i dadzą się nabrać.

Podziel się z innymi tym artykułem!

Najnowsze posty

  • Trend Micro łata zero-daya wykorzystywanego w atakach
    CVE-2023-41179 cybernews kapitanhack trendmicro zeroday

    Uwaga! Trend Micro łata zero-daya wykorzystywanego w atakach!

    Czytaj dalej >

  • Telecomy na Bliskim Wschodzie zaatakowane nowatorskimi backdoorami udającymi oprogramowanie zabezpieczające
    attack backdoor CiscoTalos HTTPSnoop PipeSnoop telecomm

    Telecomy na Bliskim Wschodzie zaatakowane nowatorskimi backdoorami udającymi oprogramowanie zabezpieczające

    Czytaj dalej >

  • Inteligentne toalety, czyli dane medyczne w niebezpieczeństwie
    IoT MedicalData security UrządzeniaSmart

    Inteligentne toalety, czyli dane medyczne w niebezpieczeństwie

    Czytaj dalej >

  • 345 milionów euro kary dla
    DPC GDPR mobile RODO tiktok

    345 milionów euro kary dla TikToka za nieprzestrzeganie RODO

    Czytaj dalej >

  • Odkryto nową technikę ataków typu DoS na iPhone'y – przy pomocy urządzenia Flipper Zero
    apple bluetooth flipperzero security

    Odkryto nową technikę ataków typu DoS na iPhone’y – przy pomocy urządzenia Flipper Zero

    Czytaj dalej >

  • Phishing na pracowników przedsiębiorstw za pomocą Microsoft Teams
    microsoft phishing storm-0324 teams TeamsPhisher

    Phishing na pracowników przedsiębiorstw za pomocą Microsoft Teams. Ataki grupy Storm-0324 i zalecenia w celu mitygacji zagrożenia

    Czytaj dalej >

  • „Atak na gorący kartofel” i masz pełną kontrolę nad systemem Windows oraz Active Directory.
    Active Directory hotPotato lpe okiem_eksperta Potato S4U S4UTomato

    „Atak na gorący kartofel” i masz pełną kontrolę nad systemem Windows oraz Active Directory. Symulacja ataku

    Czytaj dalej >

Więcej postów ›

Popularne #hashtagi

Active Directory ai android apple attack backdoor best practices botnet bug bypass C2 cloud cve cyberbezpieczeństwo cybernews data DNS exploit google hack hacking hash infosec kapitanhack killchain linux LOLBin malware microsoft mimikatz mobile news okiem_eksperta password phishing phone powershell ransomware rce security trojan vulnerability web windows zero-day

O nas

  • Nota prawna
  • Reklama
  • Kontakt

Bądź na bieżąco

  • Facebook
  • Linkedin
  • Youtube
  • RSS

Przydatne linki

  • O kapitanie
  • Okiem eksperta
  • Kliknąć warto

Kapitan Hack

  • Home
  • Posty
  • Wideo
  • Kampanie

Wszelkie prawa zastrzeżone © 2023

Share

Blogger
Delicious
Digg
Email
Facebook
Facebook messenger
Google
Hacker News
Line
LinkedIn
Mix
Odnoklassniki
PDF
Pinterest
Pocket
Print
Reddit
Renren
Short link
SMS
Skype
Telegram
Tumblr
Twitter
VKontakte
wechat
Weibo
WhatsApp
Xing
Yahoo! Mail

Copy short link

Copy link