cảnh giác email đáng ngờ nhằm khiến người dùng lộ thông tin đăng nhập office 365

Một âm mưu lừa đảo được phát hiện bởi Abnormal Security liên quan đến một email mạo danh nhà cung cấp để vượt qua cổng Proofpoint của nạn nhân và thiết lập một cái bẫy để đánh cắp thông tin đăng nhập Office 365. (Microsoft)

Các nhà nghiên cứu tại Abnormal Security cho biết hôm thứ Hai họ đã chặn một cuộc tấn công trong đó một email độc hại mạo danh một trong những nhà cung cấp khách hàng của họ đã vượt qua cổng Proofpoint của khách hàng và thiết lập một cái bẫy để đánh cắp thông tin đăng nhập Office 365.

Các nhà nghiên cứu cho biết trong một blog rằng nếu email đã được chuyển đi và người nhận rơi vào cuộc tấn công, thông tin đăng nhập của họ sẽ bị xâm phạm, tài khoản bị rò rỉ và bất kỳ dữ liệu nào trong đó có thể bị đánh cắp.

Kỹ thuật này - được gọi là thỏa hiệp đối tác - bắt đầu bằng việc một kẻ xấu mạo danh nhà cung cấp và gửi những gì có vẻ như là một tin nhắn được mã hóa, mà người dùng tại Abnormal có thể truy cập bằng cách nhấp vào văn bản được chỉ định trong email. Ẩn đằng sau bẫy văn bản là một siêu liên kết được nhúng chuyển hướng đến một trang đích đáng ngờ, thúc giục người nhận tải xuống tệp có sẵn. Nút tải xuống lại chuyển hướng nạn nhân và mặc dù trang đích cuối cùng của cuộc tấn công đã bị kẻ tấn công gỡ xuống, Abnormal đã từng thấy các cuộc tấn công như thế này trong quá khứ đưa nạn nhân đến trang đăng nhập Office 365 giả mạo, yêu cầu cho thông tin đăng nhập.

Các cuộc tấn công này rất phức tạp, vì email đến từ một tài khoản nhà cung cấp hợp pháp. Miền gốc của email là miền được xác thực và do đó không bị giả mạo, điều này cho thấy rằng nhà cung cấp thực sự đã bị vi phạm, chứ không phải là một nỗ lực mạo danh cấp thấp hơn. Email được gửi bởi nhà cung cấp là một tài khoản mà công ty nhận (Khách hàng Abnormal) đã tương tác nhiều lần, vì vậy người nhận sẽ thấy rằng việc truy cập nhanh vào thư được mã hóa và giải quyết nội dung của nó là một hoạt động kinh doanh bình thường.

Chris Morales, trưởng bộ phận phân tích bảo mật tại Vectra, cho biết kỹ thuật xâm nhập đối tác tương đương với lừa đảo nội bộ, khi một email lừa đảo bắt nguồn từ một kết nối hợp pháp và đáng tin cậy thì không bị cổng email chặn.

“Từ tài khoản này, kẻ tấn công nhắm mục tiêu vào những người dùng nội bộ khác để lây lan theo chiều ngang,” Morales giải thích. “Việc sử dụng tài khoản đáng tin cậy tương đương với tỷ lệ phần trăm thành công cao hơn khi người dùng khác nhấp vào liên kết hoặc cài đặt ứng dụng độc hại. Đây chỉ là một trong nhiều phương pháp mà kẻ tấn công có thể sử dụng trong môi trường Office 365. Điều quan trọng là tổ chức phải giám sát không chỉ hành vi này mà còn toàn bộ vòng đời của cuộc tấn công để ngăn chặn các cuộc tấn công thành công".




Nhà phân phối giải pháp Firewall WatchGuard:
ITMAP ASIA JSC
555 Trần Hưng Đạo, P. Cầu Kho, Q.1, TP.HCM
Email: info@itmapasia.com
Đt: 028 5404 0717 - 5404 0799