Home Posty
Wideo Kampanie
  • Home
  • Posty
  • Wideo
  • Kampanie
O kapitanie
Okiem eksperta
Kliknąć warto

Wybrany post: Kampania phishingowa Office 365 atakuje konta administratorów

7 sierpnia 2019
azure
office 365
phishing
privileged account

Udany phishing na konto mailowe pracownika w organizacji może doprowadzić do poważnej infekcji złośliwym oprogramowaniem lub przejęciem konta przez cyberprzestępcę. Jednak oszukanie fałszywym mailem administratora firmy i zdobycie jego poświadczeń prowadzi do całkowitej kompromitacji. Atakujący są ostatnio aż tak bezpośredni, że kierują kampanie phishingowe prosto do administratorów, omijając tym samym całą ścieżkę ataku (Kill Chain) i licząc na zdobycie uprawnień administratora domeny w najprostszy możliwy sposób. Jak się okazuje – często skuteczny.

Oszuści używają do tego wiadomości przypominających maile od Customer Support Office 365 i podszywają się pod Microsoft. Wysyłają do adminów wiadomości z alarmami wymagającymi szybkiej reakcji, co wpływa na psychikę, wywiera presje i tym samym usypia czujność atakowanych osób.


Jak działają cyberprzestępcy?

Jednym z przykładów fałszywej wiadomości jest powiadomienie, że licencja Office 365 w organizacji wygasła i wymagane jest sprawdzenie płatności. Po kliknięciu w link zostaniemy przeniesieni do fałszywej strony Office 365 Admin Center i poproszeni o wpisanie poświadczeń w celu weryfikacji licencji. Jak się można domyślić, poświadczenia zostaną przechwycone i tym samym konto „admin” w organizacji przejęte.

Fałszywy email z informacją, że licencja Office 365 w organizacji wygasła
źródło: deepsecurity.news

Inna wiadomość w tej kampanii zawiera alarm z informacją, że ktoś uzyskał dostęp do skrzynki mailowej innej osoby. Dla administratora jest to pilna sprawa i z pewnością zareaguje na takie zdarzenie od razu bądź przekaże maila do działu bezpieczeństwa. W treści wiadomości również znajduje się link, w postaci przycisku „Investigate”, który przekierowuje do fałszywej strony logowania Office 365. Wiadomość na pierwszy rzut oka wygląda naprawdę legalnie i nie wzbudza podejrzeń.

Fałszywy email z alarmem dotyczącym nieautoryzowanego dostępu do skrzynki
źródło: deepsecurity.news

Jeśli administrator nabierze się na którąś wiadomość bądź zwyczajnie, w natłoku pracy nie wczyta się w nią dokładnie, trafi na fałszywą stronę logowania. Layout wygląda identycznie jak w przypadku Microsoft. Strona phishingowa hostowana jest w domenie Windows.net na platformie Azure, co daje dodatkowe punkty do zaufania.

Fałszywa strona logowania do Office 365
źródło: deepsecurity.news

Aby witryna była jeszcze bardziej przekonująca zabezpieczona jest certyfikatem od Microsoft.

To, co może wskazywać na podejrzliwość strony to adres www wygenerowany przez Azure maszynowo.

Jak się można domyślić, kiedy administrator da się oszukać i wpisze poświadczenia zostaną one skradzione przez hackera. Jeśli na koncie nie ma wymuszonej autoryzacji 2 stopniowej (2FA), to cyberprzestępca otrzymuje pełen dostęp do panelu administracyjnego Office 365 w organizacji.


Czy ktoś w ogóle się na to nabiera?

Pewnie myślisz, że żaden szanujący się administrator nie złapie się na phishing. Otóż okazuje się, że opisywana kampania zbiera całkiem spore żniwa. Głównie chodzi o mniejsze organizacje, w których administratorzy poczty czy Sharepoint’a nie są odpowiednio szkoleni.

Z drugiej strony, nawet starzy weterani w dużych korporacjach mogą w pośpiechu i natłoku obowiązków przeczytać wiadomość pobieżnie i często zbieg okoliczność spowoduje, że nie będą wystarczająco podejrzliwi i dadzą się nabrać.

Podziel się z innymi tym artykułem!

Najnowsze posty

  • backdoor exchange Gelsemium iis sessionmanager

    Uwaga na ataki na serwery Exchange i IIS oraz tworzone w nich backdoor’y

    Czytaj dalej >

  • johntheripper linux PDF pentesting

    Łamanie hasła PDF-a przy pomocy John The Ripper

    Czytaj dalej >

  • checkpoint chiny malware TropicTrooper

    Zorganizowana kampania malware atakuje chińskojęzyczne kraje

    Czytaj dalej >

  • attack cloud encryption mega

    Krytyczne luki w chmurze MEGA pozwalające na deszyfracje plików.

    Czytaj dalej >

  • cybernews kapitanhack ransomware

    Uwaga na ransomware od Black Basta!

    Czytaj dalej >

  • execution LOLBin malware runexehelper windows

    Kolejny LOLBIN umożliwia niekontrolowane uruchomienie malware na Windows

    Czytaj dalej >

  • android FBI iOS mobile nsa secure

    Jak zabezpieczyć swój telefon – najlepsze praktyki Agencji Bezpieczeństwa Narodowego

    Czytaj dalej >

Więcej postów ›

Popularne #hashtagi

Active Directory AD android apple attack backdoor best practices botnet bug bypass C2 cve cyberatak cyberbezpieczeństwo cybernews cybersecurity data DNS exchange exploit google hack hacking hash killchain linux malware microsoft mimikatz mobile news okiem_eksperta password phishing phone powershell ransomware rce security socjotechnika trojan vulnerability web windows zero-day

O nas

  • Nota prawna
  • Reklama
  • Kontakt

Bądź na bieżąco

  • Facebook
  • Linkedin
  • Youtube
  • RSS

Przydatne linki

  • O kapitanie
  • Okiem eksperta
  • Kliknąć warto

Kapitan Hack

  • Home
  • Posty
  • Wideo
  • Kampanie

Wszelkie prawa zastrzeżone © 2022

Share

Blogger
Delicious
Digg
Email
Facebook
Facebook messenger
Google
Hacker News
Line
LinkedIn
Mix
Odnoklassniki
PDF
Pinterest
Pocket
Print
Reddit
Renren
Short link
SMS
Skype
Telegram
Tumblr
Twitter
VKontakte
wechat
Weibo
WhatsApp
Xing
Yahoo! Mail
Powered by WP Socializer

Copy short link

Copy link
Powered by WP Socializer