Użytkownicy Office 365 są stałym celem phisherów, ponieważ ich konta mogą dawać dostęp do wartościowych danych i systemów firmy.

Hakerzy zintensyfikowali teraz swoją grę dzięki nowym atakom, które wykorzystują pliki audio podszywające się pod pocztę głosową, aby nakłonić użytkowników do ujawnienia swoich haseł.

Nowa kampania była obserwowana w ciągu ostatnich kilku tygodni przez badaczy z firmy McAfee zajmującej się bezpieczeństwem i docelowych organizacji z wielu branż, w tym usług, finansów, IT, handlu detalicznego, ubezpieczeń, produkcji, infrastruktury, energetyki, administracji, prawa, edukacji, opieki zdrowotnej i transportu.

„Dążono do szerokiego grona pracowników, od kadry kierowniczej średniego szczebla po kadrę kierowniczą” – powiedzieli naukowcy z McAfee w opublikowanym dzisiaj raporcie. „Uważamy, że jest to kampania „phishingu” i „wielorybnictwa”.

Wielorybnictwo to rodzaj phishingu, który jest wymierzony w kadrę kierowniczą wyższego szczebla, kierowników działów i inne cele o wysokiej wartości wewnątrz organizacji za pomocą przynęt, którymi mogą być zainteresowani i na które mogą się nabrać.

Jak działa kampania phishingowa Office 365

Fałszywe wiadomości e-mail zawierają logo Microsoft i informują odbiorców, że nie otrzymali połączenia z określonego numeru telefonu. Wiadomości zawierają informacje takie jak ID dzwoniącego, data, czas trwania połączenia, nazwa organizacji i numer referencyjny.

Wiadomości e-mail zawierają załączniki HTML, które po otwarciu przekierowują użytkowników do witryny phishingowej, która informuje ich, że Microsoft pobiera ich pocztę głosową i prosi o zalogowanie się, aby uzyskać do niej dostęp.

Na tym etapie strona odtwarza krótkie nagranie dźwiękowe mówiącej osoby, które ma na celu oszukać ofiary, by uwierzyły, że słuchają początku prawidłowej poczty głosowej.

„To, co odróżnia tę kampanię phishingową od innych, to fakt, że zawiera ona dźwięk, aby stworzyć poczucie pilności, co z kolei skłania ofiary do uzyskania dostępu do złośliwego linku” – stwierdzili naukowcy. „To daje napastnikowi przewagę w socjotechnicznej stronie tej kampanii”.

Po odtworzeniu nagrania użytkownicy są przekierowywani do innej nieuczciwej witryny, która naśladuje stronę logowania do Office 365 i gdzie adres e-mail jest automatycznie wstępnie wypełniany, aby zwiększyć wiarygodność ataku. Jeśli ofiara wprowadzi swoje hasło, otrzyma wiadomość o pomyślnym zalogowaniu i zostanie przekierowana na legalną witrynę office.com.

Używane komercyjne zestawy phishingowe

Badacze McAfee ustalili, że phisherzy przeprowadzają te ataki za pomocą trzech różnych zestawów phishingowych, które można kupić na podziemnym rynku i zostały specjalnie zaprojektowane do tego celu. Jeden z nich nazywa się nawet Voicemail Scmpage 2019.

Szeroka dostępność tych zestawów na forach cyberprzestępczych obniża barierę wejścia dla wielu cyberprzestępców. Ponieważ do przeprowadzenia tych ataków wymagana jest niewielka wiedza lub umiejętności, jest prawdopodobne, że staną się one jeszcze bardziej powszechne.

Wpływ i łagodzenie fałszywego phishingu poczty głosowej

Niektóre ze wskaźników tych prób phishingu to załączniki wiadomości e-mail w formacie DD-Month-YYYY.wav.html, Voice-DD-MonthYYYYwav.htm lub Audio_Telephone_MessageDD-Month-YYYY.wav.html. Domeny używane do hostowania fałszywych stron poczty głosowej wydają się mieć losowo wygenerowane nazwy, ale ich lista znajduje się w raporcie McAfee.

Naruszone poświadczenia Office 365 są cenne dla hakerów, ponieważ pojedyncze konto Microsoft zazwyczaj ma dostęp do szerokiego zakresu usług i danych, w zależności od abonamentu pakietu Office firmy.

Przejęte konta mogą być również wykorzystywane do podszywania się pod personel wyższego szczebla i nakłaniania innych pracowników z tej samej organizacji do wykonywania działań, które prowadzą do strat finansowych dla firmy lub dodatkowych kompromisów.

FBI szacuje, że w ciągu ostatnich trzech lat oszustwa biznesowe związane z włamaniem na pocztę elektroniczną (BEC) kosztowały organizacje na całym świecie ponad 26 miliardów dolarów.

Zachęcamy administratorów IT do włączenia uwierzytelniania dwuskładnikowego (2FA) dla kont Office 365 swoich organizacji. Ataki phishingowe, które omijają 2FA, są możliwe, ale wymagają więcej zasobów i specjalnej infrastruktury.

Szkolenie pracowników w zakresie identyfikowania wiadomości phishingowych i unikania klikania podejrzanych łączy lub otwierania załączników od nieznanych nadawców powinno stanowić pierwszą linię obrony dla organizacji świadomych bezpieczeństwa.