Добавить в корзинуПозвонить
Найти в Дзене
Социальная инженерия в информационной безопасности
40 подписчиков

Даже принтер может быть хакером. Что мы узнали из новой атаки на Microsoft 365

1
1 мин
В конце июня Microsoft выпустила предупреждение: в десятках компаний прошла успешная фишинговая атака, маскирующаяся под внутреннюю переписку. И сработало это благодаря... офисным принтерам. Исследователи из Varonis Threat Labs раскрыли новую схему, в которой злоумышленники использовали малозаметную функцию Microsoft 365 под названием Direct Send. Она предназначена для отправки писем с внутренних устройств — например, с принтера — без аутентификации. Всё бы ничего, но эту же лазейку можно использовать для подмены адресов и рассылки фишинга якобы от лица коллег. Direct Send не требует ни паролей, ни токенов. Достаточно знать внутренний адрес и доменное имя. Дальше подключается PowerShell — и письмо уже в почтовом ящике жертвы. Выглядит как уведомление о факсе или голосовом сообщении, внутри — PDF с QR-кодом. Сканируешь — попадаешь на сайт, где тебя "вежливо" просят ввести логин и пароль от Microsoft 365. И это работает. Несмотря на провальные SPF и DMARC-проверки, письма спокойно прохо
Оглавление

В конце июня Microsoft выпустила предупреждение: в десятках компаний прошла успешная фишинговая атака, маскирующаяся под внутреннюю переписку. И сработало это благодаря... офисным принтерам.

Исследователи из Varonis Threat Labs раскрыли новую схему, в которой злоумышленники использовали малозаметную функцию Microsoft 365 под названием Direct Send. Она предназначена для отправки писем с внутренних устройств — например, с принтера — без аутентификации. Всё бы ничего, но эту же лазейку можно использовать для подмены адресов и рассылки фишинга якобы от лица коллег.

Почему это сработало

Direct Send не требует ни паролей, ни токенов. Достаточно знать внутренний адрес и доменное имя. Дальше подключается PowerShell — и письмо уже в почтовом ящике жертвы. Выглядит как уведомление о факсе или голосовом сообщении, внутри — PDF с QR-кодом. Сканируешь — попадаешь на сайт, где тебя "вежливо" просят ввести логин и пароль от Microsoft 365.

И это работает. Несмотря на провальные SPF и DMARC-проверки, письма спокойно проходят фильтры и попадают в инбоксы. Почему? Потому что они похожи на внутренний трафик. И большинство пользователей даже не задумываются, что внутри офиса им тоже могут прислать фишинг.

Что важно бизнесу

Эта атака — наглядное доказательство: угрозы всё чаще выглядят как штатная активность. Мы привыкли считать, что фишинг приходит "откуда-то снаружи", а всё внутреннее безопасно по определению. Но это уже давно не так.

Если в компании нет чётких политик безопасности, если сотрудники не умеют отличать подделку от реального письма — никакие настройки SPF не спасут. Нужно действовать по всем фронтам:

  • отключать Direct Send, если он не используется;
  • жёстко настраивать SPF, DKIM и DMARC;
  • отслеживать письма без аутентификации и подозрительные маршруты;
  • обучать сотрудников распознавать фишинг — особенно с использованием QR-кодов;
  • говорить с людьми. Не издавать регламенты, а научить распознавать атаку, даже если она выглядит как обычное письмо от принтера.

Именно это делает обучение StopPhish: мы учим видеть угрозы там, где они не бросаются в глаза. В голосовых сообщениях, PDF-документах, ссылках от "своих". Мы помогаем компаниям настраивать процессы так, чтобы человеческий фактор стал первой линией защиты, а не уязвимостью.

Источник: SecurityLab
По материалам исследования Varonis Threat Labs.

Гаджеты и электроника
5,73 млн интересуются