Home Posty
Wideo Kampanie
Kapitan Hack
  • Home
  • Posty
  • Wideo
  • Kampanie
O kapitanie
Okiem eksperta
Kliknąć warto

Wybrany post: Kampania phishingowa Office 365 atakuje konta administratorów

7 sierpnia 2019
azure
office 365
phishing
privileged account

Udany phishing na konto mailowe pracownika w organizacji może doprowadzić do poważnej infekcji złośliwym oprogramowaniem lub przejęciem konta przez cyberprzestępcę. Jednak oszukanie fałszywym mailem administratora firmy i zdobycie jego poświadczeń prowadzi do całkowitej kompromitacji. Atakujący są ostatnio aż tak bezpośredni, że kierują kampanie phishingowe prosto do administratorów, omijając tym samym całą ścieżkę ataku (Kill Chain) i licząc na zdobycie uprawnień administratora domeny w najprostszy możliwy sposób. Jak się okazuje – często skuteczny.

Oszuści używają do tego wiadomości przypominających maile od Customer Support Office 365 i podszywają się pod Microsoft. Wysyłają do adminów wiadomości z alarmami wymagającymi szybkiej reakcji, co wpływa na psychikę, wywiera presje i tym samym usypia czujność atakowanych osób.


Jak działają cyberprzestępcy?

Jednym z przykładów fałszywej wiadomości jest powiadomienie, że licencja Office 365 w organizacji wygasła i wymagane jest sprawdzenie płatności. Po kliknięciu w link zostaniemy przeniesieni do fałszywej strony Office 365 Admin Center i poproszeni o wpisanie poświadczeń w celu weryfikacji licencji. Jak się można domyślić, poświadczenia zostaną przechwycone i tym samym konto „admin” w organizacji przejęte.

Fałszywy email z informacją, że licencja Office 365 w organizacji wygasła
źródło: deepsecurity.news

Inna wiadomość w tej kampanii zawiera alarm z informacją, że ktoś uzyskał dostęp do skrzynki mailowej innej osoby. Dla administratora jest to pilna sprawa i z pewnością zareaguje na takie zdarzenie od razu bądź przekaże maila do działu bezpieczeństwa. W treści wiadomości również znajduje się link, w postaci przycisku „Investigate”, który przekierowuje do fałszywej strony logowania Office 365. Wiadomość na pierwszy rzut oka wygląda naprawdę legalnie i nie wzbudza podejrzeń.

Fałszywy email z alarmem dotyczącym nieautoryzowanego dostępu do skrzynki
źródło: deepsecurity.news

Jeśli administrator nabierze się na którąś wiadomość bądź zwyczajnie, w natłoku pracy nie wczyta się w nią dokładnie, trafi na fałszywą stronę logowania. Layout wygląda identycznie jak w przypadku Microsoft. Strona phishingowa hostowana jest w domenie Windows.net na platformie Azure, co daje dodatkowe punkty do zaufania.

Fałszywa strona logowania do Office 365
źródło: deepsecurity.news

Aby witryna była jeszcze bardziej przekonująca zabezpieczona jest certyfikatem od Microsoft.

To, co może wskazywać na podejrzliwość strony to adres www wygenerowany przez Azure maszynowo.

Jak się można domyślić, kiedy administrator da się oszukać i wpisze poświadczenia zostaną one skradzione przez hackera. Jeśli na koncie nie ma wymuszonej autoryzacji 2 stopniowej (2FA), to cyberprzestępca otrzymuje pełen dostęp do panelu administracyjnego Office 365 w organizacji.


Czy ktoś w ogóle się na to nabiera?

Pewnie myślisz, że żaden szanujący się administrator nie złapie się na phishing. Otóż okazuje się, że opisywana kampania zbiera całkiem spore żniwa. Głównie chodzi o mniejsze organizacje, w których administratorzy poczty czy Sharepoint’a nie są odpowiednio szkoleni.

Z drugiej strony, nawet starzy weterani w dużych korporacjach mogą w pośpiechu i natłoku obowiązków przeczytać wiadomość pobieżnie i często zbieg okoliczność spowoduje, że nie będą wystarczająco podejrzliwi i dadzą się nabrać.

Podziel się z innymi tym artykułem!

Najnowsze posty

  • Powrót ataków NTLM relay
    attack authentication NTLMRelay

    Powrót ataków NTLM relay

    Czytaj dalej >

  • Bleak Pairing – niewidzialny wróg Bluetooth. Jak luka w BLE obnaża słabość miliardów urządzeń
    attack bleakpairing bluetooth DOS kapitanhack

    Bleak Pairing – niewidzialny wróg Bluetooth. Jak luka w BLE obnaża słabość miliardów urządzeń

    Czytaj dalej >

  • Nowatorski mechanizm infekcji systemu macOS
    cybernews kapitanhack MacOs sentinelone

    Nowatorski mechanizm infekcji systemu macOS

    Czytaj dalej >

  • Zainfekowane wersje PuTTY i WinSCP
    attack backdoor Broomstick kapitanhack Oyster putty winscp

    Uwaga, administratorze! Zainfekowane wersje PuTTY i WinSCP w reklamach Google. Atak przez backdoor

    Czytaj dalej >

  • Hakerzy ukradli 140 milionów dolarów po włamaniu do brazylijskich usług bankowych C&M Software
    bank fraud hack

    Hakerzy ukradli 140 milionów dolarów po włamaniu do brazylijskich usług bankowych C&M Software

    Czytaj dalej >

  • Luka w WordPress Forminator zagraża ponad 400 000 witryn
    forminator wordpress

    Luka w WordPress Forminator zagraża ponad 400 000 witryn

    Czytaj dalej >

  • AI Poisoning
    ai AIPoisoning Chatbot chatgpt kapitanhack Netcraft phishing

    AI vs. bezpieczeństwo, czyli chatboty promujące phishing i złośliwe linki oraz AI Poisoning

    Czytaj dalej >

Więcej postów ›

Popularne #hashtagi

Active Directory ai android apple attack backdoor best-practices best practices botnet bug bypass C2 cisco cloud cve cyberbezpieczeństwo cybernews DNS exploit google hack hacking idm iOS kapitanhack killchain linux malware microsoft mimikatz mobile news okiem_eksperta password phishing phone ransomware rce security trojan vulnerability web windows zero-day zeroday

O nas

  • Nota prawna
  • Reklama
  • Kontakt

Bądź na bieżąco

  • Facebook
  • Linkedin
  • Youtube
  • RSS

Przydatne linki

  • O kapitanie
  • Okiem eksperta
  • Kliknąć warto

Kapitan Hack

  • Home
  • Posty
  • Wideo
  • Kampanie

Wszelkie prawa zastrzeżone © 2025

Share

Blogger
Bluesky
Delicious
Digg
Email
Facebook
Facebook messenger
Flipboard
Google
Hacker News
Line
LinkedIn
Mastodon
Mix
Odnoklassniki
PDF
Pinterest
Pocket
Print
Reddit
Renren
Short link
SMS
Skype
Telegram
Tumblr
Twitter
VKontakte
wechat
Weibo
WhatsApp
X
Xing
Yahoo! Mail

Copy short link

Copy link
Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie.Zgoda