Các cuộc tấn công lừa đảo Office 365 tạo ra bởi tin tặc

Thực hiện chiến dịch lừa đảo Office 365:

Tất cả các email có xu hướng chạy với một mẫu cơ bản sử dụng các yếu tố chính của dữ liệu từ sổ địa chỉ của nạn nhân hoặc miền của nạn nhân dự định. Nếu nạn nhân rơi vào lừa đảo, họ sẽ được chuyển đến trang đích (nơi thu thập thông tin đăng nhập Office 365) bằng một số phương pháp.

Một số người sẽ thấy trang đích bằng cách mở tệp đính kèm HTML và được chuyển tiếp; hoặc họ sẽ nhấp vào một liên kết trực tiếp.

Sau khi xem xét một vài ví dụ gần đây, Salted Hash đã xác định chính các trang đích được thiết kế bằng Knockout.js , một hệ thống mẫu mã nguồn mở hoạt động trên mọi trình duyệt, thậm chí là lỗi thời.

Với các ví dụ mã được quan sát, có vẻ như Knockout đang được sử dụng để sao chép cổng đăng nhập Office 365 mà hầu hết mọi người đều quen thuộc. Khi thông tin đăng nhập của nạn nhân được thu thập bởi những kẻ lừa đảo, họ sẽ được chuyển đến trang đăng nhập hợp pháp của Microsoft.

Lưu ý: Đối với những người cần nó, trang hai của bài viết này chứa một số chỉ số thỏa hiệp, bao gồm tên miền, dòng chủ đề và địa chỉ IP.

Office 365 là một mục tiêu nóng để lừa đảo:

Với phạm vi của nó, nhắm mục tiêu Office 365 sẽ là tiêu chuẩn – không phải là ngoại lệ – nếu các mẫu gần đây là bất kỳ dấu hiệu nào.

Troy Gill, giám đốc nghiên cứu bảo mật tại AppRiver cho biết, trong sáu tháng qua, công ty của ông đã chứng kiến ​​rất nhiều vụ lừa đảo nhắm mục tiêu vào Office 365. Cho đến năm 2017, AppRiver đã thấy – một cách bảo thủ – hơn 100 triệu email được gửi nhắm mục tiêu người dùng Office 365.

“Tôi có thể nói một cách thoải mái rằng chúng tôi đã thấy sự gia tăng ít nhất 1000 phần trăm kể từ thời điểm này năm ngoái với nhiều chiến dịch trong số này đã tạo ra hàng triệu tin nhắn trong một ngày,” Gill nói.

Phòng ngừa và giảm thiểu:

• 

Tùy thuộc vào công việc, hầu hết mọi người bị xích vào email của họ. Tuy nhiên, đào tạo nâng cao nhận thức thường có một loại tâm lý “nguy hiểm lạ” – và bỏ qua những việc cần làm khi một liên hệ đã biết gửi tin nhắn hoặc kẻ tấn công kiểm soát các kênh xác minh.

Báo chí, quản trị văn phòng, pháp lý, tiếp thị, bán hàng, nhân sự, v.v. và mở tệp đính kèm.

Đó là lý do tại sao lừa đảo rất hiệu quả. Các cuộc tấn công được quan sát bởi Barracuda, Fujitsu, thậm chí là cuộc tấn công vào Salted Hash đều cố gắng tận dụng mức độ tin cậy và quen thuộc hiện có, và lạm dụng quy trình công việc bình thường.

Mặc dù có các kiểm soát kỹ thuật để giúp chống Lừa đảo, chẳng hạn như giám sát tên miền (để bắt các URL loại bỏ, ngồi xổm, v.v.) hoặc lọc email, vấn đề vẫn là vấn đề của con người.

Nếu các điều khiển đó không ngăn email đến hộp thư đến của một người, nạn nhân tiềm năng giờ đây đã trở thành tuyến phòng thủ cuối cùng.

Tại thời điểm đó, xác thực đa yếu tố chắc chắn sẽ tăng cường phòng thủ. Microsoft đã khuyến khích xác thực đa yếu tố cho người dùng Office 365 – đặc biệt là những người trong cài đặt công ty – hiện tại.

Nhưng có điều gì đó để nói về việc bao gồm các quy trình công việc chung và các mẫu văn phòng vào việc đào tạo nhận thức. Đối với nhóm tại Salted Hash, loại hình đào tạo này đã khiến email ngày 7 tháng 9 bị phát hiện là một trò lừa đảo gần như ngay lập tức bởi mỗi người chúng tôi đã nhận được nó.

By tuning awareness training to match the normal, common workflows of the organization, it’s possible to get a boost from the users who will know when something just “doesn’t feel right” and likely report it.

Mặc dù vậy, chìa khóa của họ là giao tiếp và nhấn mạnh điểm rằng các báo cáo sai lệch không chủ ý hoặc trở thành nạn nhân của một vụ lừa đảo sẽ không dẫn đến hình phạt, trong khi thưởng thành công.

Office 365 lừa đảo: Các chỉ số tấn công và chi tiết bổ sung

Sau khi xử lý email lừa đảo của chính chúng tôi, Salted Hash đã theo dõi các nỗ lực liên quan khác. Dựa trên việc săn lùng của chúng tôi, các email từ đầu tháng này có xu hướng sử dụng các tên miền .kz (Kazakhstan) và thường tuân theo định dạng cơ bản cho URI:

/wp-content/languages/themes/hash/

/wp-content/plugins/hash/

/wp-includes/css/hash/

cmd=login_submit&id=

cmd-login=

Một ví dụ về một cuộc tấn công có sẵn trên urlscan.io , nhưng không rõ địa chỉ được ghi là nạn nhân hay mục tiêu, do các quản trị viên thường sử dụng dịch vụ URLScan.io để điều tra các liên kết đáng ngờ hoặc được báo cáo.

Chúng tôi đã hỏi Fujitsu nếu họ có thể chia sẻ bất kỳ chỉ số bổ sung nào và họ đã chia sẻ như sau:

IP được quan sát đăng nhập vào tài khoản Office 365 bị xâm nhập:

169.159.73.96
41.190.2.4
105.112.41.235
41.190.2.166
129.56.10.37
129.56.10.68
129.56.10.36
129.56.10.100
169.159.82.162
129.56.10.116
41.58.96.135
169.159.94.72
105.112.34.110
154.118.29.248
185.84.181.81
105.112.45.96

Chủ đề email cho liên hệ ban đầu:

Support Team
Quota Team
Data Support Team
Activate Quota
Support Activate Quota
Support Quota Upgrade
Support Quota

Chủ đề email cho liên hệ thứ hai, cho nạn nhân nội bộ sau thỏa hiệp:

Fw: Payments
Order Review
Approved Invoice
Statemens/Invoices
FYI

Tên miền được sử dụng làm trang đích:

hxxp://zagubieniwrzymie[.]com/invoice/
hxxp://maycla[.]cl/sdf/
hxxps://greenhilltour[.]com/sdf
hxxps://onclesam[.]com/sdf
hxxps://reyesmorenos.cl/sdf/?email=[recipient]
hxxps://econit.cl/sdf/?email=[recipient]
hxxp://www[.]litografiasgaudi[.]com/adminfile[.]php

Khi được hỏi, Lior Gavish, VP Engineering, Dịch vụ bảo mật nội dung tại Barracuda, cũng  đã chia sẻ một danh sách lớn các tên miền được kết nối với các nỗ lực Lừa đảo của Office 365 .

Barracuda cũng đã theo dõi các chiến dịch Office 365 Phishing và lần đầu tiên báo cáo về chúng vào tháng 8.