מיקרוסופט מזהירה את משתמשי M365 מפני פשעי דיוג הולכים וגדלים בדוח ההגנה הדיגיטלית החדש

האחרון דוח הגנה דיגיטלית של Microsoft 2022 אומר שתוכניות דיוג אישורים מתגברות ומגלה שזה אחד האיומים הגדולים באינטרנט. הפשע מכוון לכל תיבות הדואר הנכנס מאנשים שונים ברחבי העולם, אך אחד הטרף הגדולים ביותר של מפעילים הם אלה שיש להם אישורי Microsoft 365, מוסיף הדו"ח.

"אישורי Microsoft 365 נותרו אחד מסוגי החשבונות המבוקשים ביותר עבור תוקפים", מסבירה מיקרוסופט בדו"ח שלה. "ברגע שאישורי הכניסה נפגעים, התוקפים יכולים להיכנס למערכות מחשב הקשורות לארגונים כדי להקל על הדבקה בתוכנות זדוניות ותוכנות כופר, לגנוב נתוני חברה סודיים ומידע על ידי גישה לקבצי SharePoint, ולהמשיך בהפצת הדיוג על ידי שליחת מיילים זדוניים נוספים באמצעות Outlook, בין שאר הפעולות."

לפי חברת רדמונד, המסקנה הגיעה מהנתונים שנאספו ממשאביה השונים, ביניהם Defender for Office, Azure Active Directory Identity Protection, Defender for Cloud Apps, Microsoft 365 Defender ו-Defender for Endpoint. באמצעות זה, מיקרוסופט הסבירה שהיא הצליחה לזהות ולצפות בדואר אלקטרוני זדוני ופעילות זהות שנפגעה, התראות על אירועי זהות בסיכון, אירועי גישה לנתוני זהות שנפגעו, התראות ואירועי תקיפה וקורלציה בין מוצרים.

עוד מזהירה מיקרוסופט את הציבור עד כמה חמורות התקפות פישינג כעת, ואומרת כי נפילת קורבן למייל פיתיון מתורגמת לזמן חציוני של שעה ו-12 דקות בלבד עבור התוקף לגשת לנתונים הפרטיים של הקורבן. באופן דומה, לאחר גישה למידע רגיש, הזמן החציוני ייקח רק עוד 30 דקות עד שהפושע יעבור לרוחב בתוך הרשת הארגונית של הקורבן.

עוד מזהירה מיקרוסופט את כולם בנוגע לדפי נחיתה דיוגים רבים המחופשים לדפי התחברות של Microsoft 365. על פי הדיווח, תוקפים מנסים להעתיק את חוויית הכניסה של מיקרוסופט על ידי הפקת כתובות URL מותאמות אישית לכל נמען או יעד.

"כתובת האתר הזו מפנה לדף אינטרנט זדוני שפותח כדי לאסוף אישורים, אבל פרמטר בכתובת האתר יכיל את כתובת הדוא"ל של הנמען הספציפי", מסבירה מיקרוסופט. "לאחר שהמטרה מנווטת לדף, ערכת ה-phish תאכלס מראש נתוני התחברות של משתמשים ולוגו ארגוני המותאם אישית לנמען הדוא"ל, תוך שיקוף של המראה של דף ההתחברות המותאם אישית של החברה הממוקדת של Microsoft 365."

חברת רדמונד גם מדגישה את הפעילות הרגילה של התוקפים של שימוש בבעיות ואירועים בולטים כדי להפוך את הפעילות שלהם למפתה יותר עבור קורבנות. זה כולל את מגיפת COVID-19, מלחמת אוקראינה-רוסיה, ואפילו נורמליזציה של עבודה מרחוק, המאפשרת לתוקפים לעצב את הפעולות שלהם סביב שיתוף פעולה וכלי פרודוקטיביות. בספטמבר, גם הוכחה משותף שמותה של המלכה אליזבת השנייה שימש את פושעי הרשת כדי להתחפש למיקרוסופט. באותו חודש, Cofense אמר שקבוצה של שחקנים זדוניים ניסתה לשטות בחברות ענק (במיוחד אלו בענפי האנרגיה, השירותים המקצועיים והבנייה) להגיש את אישורי חשבון Microsoft Office 365 שלהם. על פי הדיווח, השחקנים השתמשו במסמכים ממשרדי התחבורה, המסחר והעבודה ועיצבו את דפי ההתחזות שלהם כך שיראו יותר כמו דפי האינטרנט של סוכנויות הממשל האמריקאיות האמורות.

ביחס לכך, מיקרוסופט אומרת שעסקים הם מטרות יקרות עבור מפעילי דיוג המשתמשים בהתקפות BEC או בהתקפות דיוג בדוא"ל נגד עסקים למטרות רווח כספי. הדו"ח חושף גם הפסדים כספיים הולכים וגדלים בקרב עסקים שונים עקב הפשע האמור, מה שמביא את הצורך של ארגונים לבחון את הגנות האבטחה שלהם.

"מיקרוסופט מזהה מיליוני הודעות דוא"ל של BEC מדי חודש, שווה ערך ל-0.6% מכלל הדיוג אימיילים נצפו. דוח מ-IC3 שפורסם במאי 2022 מצביע על מגמת עלייה בהפסדים חשופים עקב התקפות BEC", מדווחת מיקרוסופט. "הטכניקות המשמשות בהתקפות פישינג ממשיכות לעלות במורכבותן. בתגובה לאמצעי נגד, התוקפים מסגלים דרכים חדשות ליישם את הטכניקות שלהם ולהגדיל את המורכבות של האופן שבו והיכן הם מארחים תשתית תפעול מסע הפרסום. המשמעות היא שארגונים חייבים להעריך מחדש באופן קבוע את האסטרטגיה שלהם להטמעת פתרונות אבטחה לחסימת מיילים זדוניים ולחיזוק בקרת הגישה לחשבונות משתמש בודדים".