Киберпреступники все чаще обращаются к Microsoft Office Forms для проведения сложных двухэтапных фишинговых атак. В этих атаках злоумышленники обманывают пользователей, заставляя их раскрывать учетные данные для входа в Microsoft 365 (M365) через Office Forms.
Злоумышленники применяют технику, известную как "захват внешней учетной записи" или компрометация электронной почты поставщика, чтобы запускать цепочку двухэтапных фишинговых атак, используя скомпрометированные адреса электронной почты деловых партнеров и поставщиков.
Проблемы с выявлением атак
"Поскольку атаки исходят от скомпрометированных легитимных учетных записей, решениям для безопасности электронной почты сложно пометить такие письма как вредоносные", - отметила исследовательская группа Perception Point в интервью Cyber Security News.
Как проводится атака?
Злоумышленники создают фальшивые формы в Microsoft Office Forms, которые выглядят законными, и включают в них вредоносные ссылки. Эти формы рассылаются массово, маскируясь под запросы от известных веб-сайтов и брендов, таких как Adobe или Microsoft SharePoint Document Viewer. Формы призывают пользователей перейти по ссылке для просмотра документов или смены пароля, что выглядит как подлинный запрос.
Примеры атак
В письмах жертвы получают ссылки на формы Microsoft Office. При переходе по ссылке пользователь попадает на поддельную страницу входа, например, страницу учетной записи Adobe или Microsoft 365, созданную для сбора учетных данных.
Согласно отчету Perception Point, злоумышленники используют известные значки и заманчивые названия страниц для повышения легитимности своих форм. С помощью легитимного URL-адреса https://forms.office.com они создают убедительный вид подлинных страниц Microsoft.
Двухэтапная фишинговая атака
Первая стадия атаки заключается в использовании известных веб-сайтов, таких как Office Forms и Canva. На второй стадии пользователи перенаправляются на поддельные страницы, где происходит кража учетных данных. Варианты атак включают имитацию входа в Adobe, как отмечено в Perception Point.
Методы защиты
Исследователи рекомендуют усовершенствованные модели обнаружения объектов для предотвращения фишинговых атак, которые включают два этапа. Эти модели имитируют взаимодействие жертвы, делая скриншоты каждой веб-страницы и идентифицируя кликабельные элементы. Это позволяет обнаруживать и предотвращать вредоносные нагрузки на более поздних этапах, даже если исходная ссылка кажется безвредной.
Обход систем безопасности
Двухэтапные фишинговые атаки сложны для обнаружения из-за использования скомпрометированных легитимных учетных записей, что затрудняет фильтрам безопасности распознавание писем как вредоносных. Получатели с большей вероятностью доверяют электронным письмам от знакомых отправителей и взаимодействуют с ними. Вредоносная активность выявляется только на втором этапе, что увеличивает шансы успешного фишинга.
Заключение
Для защиты от подобных фишинговых атак важно не только внедрять передовые технологии обнаружения угроз, но и обучать пользователей. Обучение помогает им распознавать признаки фишинговых писем, такие как неожиданные запросы на ввод учетных данных, ссылки на подозрительные формы и необычные ошибки в письмах. Повышение осведомленности сотрудников о возможных угрозах и регулярные тренировки по кибербезопасности являются ключевыми элементами в предотвращении успешных атак.
Информация взята из статьи Баладжи Н.
