ИБ-эксперты заявили об обнаружении крайне сложной фишинговой кампании, направленной на кражу учетных данных Office 365 у предприятий малого и среднего бизнеса в Северной Америке, Европе, Азии, Австралии. При реализации схемы киберпреступниками активно используют сервисы Amazon и Oracle.
Специалисты отмечают, что фишинговая компания действуют более 6 месяцев – хакеры используют сеть легитимных веб-сайтов, которые были специально заранее скомпрометированы для их задействования в прокси-цепочке.
Киберпреступники заманивают пользователей фейковыми уведомлениями о голосовых сообщениях и приглашениях Zoom, в результате чего жертва переходит на фишинговую страницу, собирающую учетные данные для авторизации.
ИБ-эксперты компании Mitiga говорят о том, что несмотря на простоту приманки, обнаруженная фишинговая кампания отличается изощренностью – в частности, за счет использование легитимных сервисов и сети скомпрометированных сайтов. В заявлении исследователей сказано о том, что киберпреступники отправляют фишинговые сообщения со скомпрометированных учетных записей электронной почты, используя при этом AWS (Amazon Web Services) и Oracle Cloud в цепочках перенаправления.
«После того как пользователь перейдет по присланной ему ссылке, он будет перенаправлен через несколько прокси-серверов, в том числе и через балансировщики нагрузки AWS на легитимный, но скомпрометированный сайт», – отмечается Офир Розманн, ИБ-специалист компании Mitiga.
Затем пользователей перекидывает на взломанный сайт, который ведет на фейковую страницу Office 365, которая, как ни странно, размещена на легитимном сервисе Oracle Cloud Computing. В ряде случаев киберпреступники используют Amazon Simple Storage Service (Amazon S3). После ввода учетных данных пользователи автоматически перенаправляются на другой взломанный заранее сайт.
Специалисты из Mitiga говорят о том, что на данный момент выявлено более 40 взломанных сайтов, которые являются часть фишинговой кампании. Эксперты дают следующие рекомендации, чтобы не стать жертвой фишинговой кампании и не отдать хакерам свои учетные данные:
- обязательное включение 2FA (двухфакторной аутентификации) для входа в Office 365;
- принудительное обновление паролей Office 365;
- ознакомление с правилами пересылки в учетных записях электронной почты;
- включение оповещений о подозрительной активности (нестандартный вход в систему), анализ журналов сервера на предмет нелегитимного получения доступа к электронной почте.
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ
