Найти в Дзене
TrashExpert.ru: главный эксперт по гаджетам, технологиям и лайфхакам
392 подписчика

Фишинг маскируют под алерты Azure Monitor: письма идут с домена Microsoft

2 мин
Киберпреступники начали использовать Microsoft Azure Monitor как площадку для фишинга: жертве приходит правдоподобный алерт про «подозрительные списания» или активность по счетам, а дальше её уводят в «обратный звонок» через номер телефона из письма. Проблема в том, что такие уведомления приходят с легитимного домена Microsoft, поэтому часто проходят фильтры и попадают прямо во входящие. О кампании подробно рассказал BleepingComputer. Мы перескажем механику без лишнего шума и промо. Azure Monitor — облачный сервис Microsoft для сбора и анализа телеметрии приложений и инфраструктуры. Его используют, чтобы следить за производительностью, ловить инциденты и получать уведомления в реальном времени. ❗️ ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ КРУТЫЕ СТАТЬИ БЕСПЛАТНО Этим и пользуются атакующие. По наблюдениям BleepingComputer, они создают в Azure Monitor алерты на «легко триггерящиеся» события. Например, на новые заказы, платежи, выставленные инвойсы и другие биллинговые активности. Дальше
Оглавление

Киберпреступники начали использовать Microsoft Azure Monitor как площадку для фишинга: жертве приходит правдоподобный алерт про «подозрительные списания» или активность по счетам, а дальше её уводят в «обратный звонок» через номер телефона из письма. Проблема в том, что такие уведомления приходят с легитимного домена Microsoft, поэтому часто проходят фильтры и попадают прямо во входящие.

О кампании подробно рассказал BleepingComputer. Мы перескажем механику без лишнего шума и промо.

Как злоумышленники превращают Azure Monitor в «фабрику» писем

Azure Monitor — облачный сервис Microsoft для сбора и анализа телеметрии приложений и инфраструктуры. Его используют, чтобы следить за производительностью, ловить инциденты и получать уведомления в реальном времени.

❗️ ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ КРУТЫЕ СТАТЬИ БЕСПЛАТНО

Этим и пользуются атакующие. По наблюдениям BleepingComputer, они создают в Azure Monitor алерты на «легко триггерящиеся» события. Например, на новые заказы, платежи, выставленные инвойсы и другие биллинговые активности. Дальше запускают условие, и сервис сам рассылает уведомления.

Ключевой момент: создатель алерта может вписать собственный текст в поле описания. Именно там и появляется фейковое предупреждение про «списания», «инвойсы» или «временную блокировку» аккаунта.

Почему это похоже на настоящие уведомления

Письма приходят «изнутри» экосистемы Microsoft, через доверенную инфраструктуру. Поэтому многие почтовые защиты воспринимают их как легитимные и пропускают во входящие.

Дальше работает классическая схема callback phishing. В письме жертву подталкивают позвонить по указанному номеру, чтобы «разрулить проблему». В тексте часто давят срочностью: аккаунт якобы приостановили, а средства «поставили на холд».

Ещё один технический штрих из описания BleepingComputer: рассылку настраивают на заранее заданные mailing lists. В этой кампании списки, по данным издания, принадлежат самим атакующим. То есть они контролируют, куда уйдут «официальные» уведомления.

Это не первая атака через легитимные сервисы

Сценарий «берём легальный сервис и используем его как транспорт» уже повторяется. В конце февраля TechRadar Pro писал о похожей технике через Google Tasks, а раньше похожим образом злоупотребляли и инфраструктурой PayPal.

Общий паттерн один: злоумышленникам не нужно ломать почту жертвы или подделывать домен. Они заставляют доверенный сервис отправить нужный текст, и письмо выглядит убедительно даже для внимательного пользователя.

Разбор кампании и примеры таких уведомлений опубликовал BleepingComputer.

❗️ ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ КРУТЫЕ СТАТЬИ БЕСПЛАТНО

Подписывайтесь на наши каналы в Telegram и Дзен, чтобы узнавать больше. И делитесь своим мнением и опытом в нашем чате.

Фишинг маскируют под алерты Azure Monitor: письма идут с домена Microsoft ⚡️