Microsoft advarer M365-brukere om økende phishing-kriminalitet i den nye Digital Defense Report

Den siste Microsoft Digital Defense Report 2022 sier at phishing-ordninger for legitimasjon øker og avslører at det er en av de største truslene på nettet. Forbrytelsen retter seg mot alle innbokser fra forskjellige individer rundt om i verden, men en av de største byttedyrene som operatører ser på er de som har Microsoft 365-legitimasjon, legger rapporten til.

"Microsoft 365-legitimasjon er fortsatt en av de mest ettertraktede kontotypene for angripere," forklarer Microsoft i sin rapport. "Når påloggingsinformasjonen er kompromittert, kan angripere logge på bedriftstilknyttede datasystemer for å lette infeksjon med skadelig programvare og løsepengeprogramvare, stjele konfidensielle firmadata og informasjon ved å få tilgang til SharePoint-filer, og fortsette spredningen av phish ved å sende flere ondsinnede e-poster ved hjelp av Outlook, blant andre handlinger."

I følge Redmond-selskapet kom konklusjonen fra dataene samlet fra de ulike ressursene, inkludert Defender for Office, Azure Active Directory Identity Protection, Defender for Cloud Apps, Microsoft 365 Defender og Defender for Endpoint. Gjennom dette forklarte Microsoft at det var i stand til å oppdage og observere ondsinnet e-post og kompromittert identitetsaktivitet, varsler om kompromitterte identitetshendelser, kompromitterte identitetsdatatilgangshendelser, angrepsatferdsvarsler og -hendelser og korrelasjon på tvers av produkter.

Microsoft advarer videre publikum om hvor alvorlige phishing-angrep er nå, og sier at å bli offer for en agn-e-post betyr en mediantid på bare én time og 12 minutter for angriperen å få tilgang til offerets private data. På samme måte, når sensitiv informasjon er tilgjengelig, vil mediantiden bare ta ytterligere 30 minutter før den kriminelle beveger seg sideveis innenfor offerets bedriftsnettverk.

Microsoft advarer videre alle om mange phishing-landingssider forkledd som Microsoft 365-påloggingssider. I følge rapporten prøver angripere å kopiere Microsofts påloggingsopplevelse ved å produsere tilpassede URL-er for hver mottaker eller mål.

"Denne URL-en peker til en ondsinnet nettside utviklet for å hente inn legitimasjon, men en parameter i URL-en vil inneholde den spesifikke mottakerens e-postadresse," forklarer Microsoft. "Når målet navigerer til siden, vil phish-settet forhåndsutfylle brukerpåloggingsdata og en bedriftslogo tilpasset e-postmottakeren, og speile utseendet til det målrettede selskapets tilpassede Microsoft 365-påloggingsside."

Redmond-selskapet understreker også angripernes vanlige aktivitet med å bruke fremtredende saker og hendelser for å gjøre operasjonene deres mer lokkende for ofre. Dette inkluderer COVID-19-pandemien, Ukraina-Russland-krigen, og til og med normalisering av fjernarbeid, slik at angripere kan designe sine operasjoner rundt samarbeid og produktivitetsverktøy. I september, Proofpoint også delt at dronning Elizabeth IIs død ble brukt av nettkriminelle til å forkle seg som Microsoft. I samme måned, Cofense sa at en gruppe ondsinnede aktører prøvde å lure store selskaper (spesielt de innen energi, profesjonelle tjenester og byggesektoren) til å sende inn deres Microsoft Office 365-kontolegitimasjon. I følge rapporten brukte aktørene dokumenter fra departementet for transport, handel og arbeidskraft og designet deres legitimasjonsnettfisking-sider slik at de ligner mer på nettsidene til de nevnte amerikanske myndighetene.

I forhold til dette sier Microsoft at virksomheter er verdifulle mål for phishing-operatører som bruker BEC-angrep eller e-phishing-angrep mot virksomheter for økonomisk gevinst. Rapporten avslører også økende økonomiske tap blant forskjellige virksomheter på grunn av nevnte kriminalitet, noe som gjør at organisasjoner må gjennomgå sikkerhetsbeskyttelsen.

«Microsoft oppdager millioner av BEC-e-poster hver måned, tilsvarende 0.6 prosent av all phishing e-poster observert. En rapport fra IC3 publisert i mai 2022 indikerer en oppadgående trend i utsatte tap på grunn av BEC-angrep», melder Microsoft. "Teknikkene som brukes i phishing-angrep fortsetter å øke i kompleksitet. Som svar på mottiltak tilpasser angripere nye måter å implementere teknikkene sine på og øke kompleksiteten i hvordan og hvor de er vert for kampanjedriftsinfrastruktur. Dette betyr at organisasjoner regelmessig må revurdere strategien for implementering av sikkerhetsløsninger for å blokkere ondsinnet e-post og styrke tilgangskontrollen for individuelle brukerkontoer.»