Je to oficiální. U adresy „[email protected]“ již není zaručeno, že bude bezpečná.
Pokud jste nedávno obdrželi SMS s podezřelým odkazem nebo e-mail s příliš naléhavým předmětem, zkontrolujte adresu odesílatele. Pokud je tam uvedena přesná adresa, našli jste háček. Ano, je to Microsoft. Ano, adresa je skutečná. A to je ten problém.
Podvodníci doménu nefalšují. Používají samotný systém pro své vlastní účely.
Důvěřujte zranitelnosti
Jsme naučení kontrolovat adresu odesílatele. „Pokud je napsáno @microsoft.com, pak je dopis legitimní“, myslíme si. Toto pravidlo ale přestalo fungovat.
Útočníci našli chytrý a jednoduchý způsob, jak zachytit systém upozornění. Nepotřebují hackovat servery Microsoftu. Stačí jim pronajmout jeden účet.
Společnost Abnormal zabývající se kybernetickou bezpečností toto schéma podrobně popsala:
- Útočník vytvoří jednorázový účet Microsoft 365.
- Přejde do nastavení Tenant Branding, konkrétně Microsoft Entra ID.
- Změní pole „Jméno“ tohoto nájemce na samotný text podvodné zprávy. Falešné finanční upozornění, žádost o phishing nebo jakákoli jiná návnada.
- Spustí automatickou akci, která přinutí Microsoft odeslat e-mail oběti. Často se k tomu podvodník pokusí přidat e-mail oběti na svůj účet.
Vzhledem k tomu, že oznámení odesílá systém společnosti Microsoft, pochází z legitimní adresy „[email protected]“.
Obsah dopisu? Minimalistický.
Žádné škodlivé přílohy. Žádné podezřelé odkazy vedoucí na falešné přihlašovací stránky. Jen předmět e-mailu a možná nějaký text v těle. Jaký druh textu? Toto je stejné pole „Jméno“, které útočník dříve změnil. Zobrazuje se v záhlaví nebo těle e-mailu jako nezpracovaná data z důvěryhodného zdroje.
Hlavní zranitelnost spočívá v nastavení Microsoft Entra ID.
Spamové filtry se dívají na odesílatele. Vidí Microsoft a chybí jim e-mail. Žádné podpisy malwaru ke spuštění. Dopis je technicky čistý, i když má zlý úmysl.
Jak dlouho tento útok trvá?
Na chvíli.
Možná jste si v poslední době všimli lidí, kteří si stěžovali na Twitteru (X), ale Abnormal tuto techniku popsal již v lednu. Útočníci milují efektivitu. Pokud jedna metoda funguje, tisíce dalších ji kopírují. A tato metoda obchází nejdražší vrstvy zabezpečení tím, že se spoléhá na důvěru.
Proč by váš poskytovatel e-mailu měl blokovat e-mail, který pochází přímo z procesu ověřování tenanta společnosti Microsoft? Neměl by. Dokud nebudeš muset.
Microsoft údajně ještě neučinil veřejné prohlášení nebo nevydal opravu tohoto konkrétního zneužití nastavení značky.
Takže jste s problémem sami.
Co teď dělat?
Ignorujte adresu odesílatele.
Podívejte se na kontext. Požádali jste Microsoft, aby změnil jméno vašeho nájemce? S největší pravděpodobností ne. Je předmět podobný standardnímu oznámení nebo obsahuje konkrétní požadavek?
„Útočník přejde do vlastností nájemce…“
Zní to nudně. Zní to jako IT byrokracie. Ale právě tato nudná byrokracie se stává zbraní.
Buďte ve střehu. Pokud vám z této adresy přijde email a nic jste nečekali, přestaňte. Místo klikání na odkazy v e-mailech kontrolujte adresu URL v adresním řádku prohlížeče. Odstraňte podezřelé zprávy.
Internet už není bezpečný. Je to prostě pohodlné.
Postarej se o sebe.
