To oficjalne. Nie ma już gwarancji, że adres „[chroniony e-mailem]” będzie bezpieczny.
Jeśli niedawno otrzymałeś SMS-a z podejrzanym linkiem lub e-maila ze zbyt natarczywym tematem, sprawdź adres nadawcy. Jeżeli podany jest tam dokładnie ten adres, to znalazłeś haczyk. Tak, to Microsoft. Tak, adres jest prawdziwy. I to jest problem.
Oszuści nie podrabiają domeny. Wykorzystują sam system do własnych celów.
Luka w zabezpieczeniach zaufania
Nauczono nas sprawdzać adres nadawcy. „Jeśli jest napisane @microsoft.com, oznacza to, że list jest prawdziwy”, myślimy. Ale ta zasada przestała działać.
Atakujący znaleźli sprytny i prosty sposób na przechwycenie systemu powiadomień. Nie muszą hakować serwerów Microsoft. Muszą wynająć tylko jedno konto.
Firma zajmująca się cyberbezpieczeństwem Abnormal szczegółowo opisała ten schemat:
- Osoba atakująca tworzy jednorazowe konto Microsoft 365.
- Wchodzi w ustawienia marki najemcy, a konkretnie w Microsoft Entra ID.
- Zmienia pole „Nazwa” tego najemcy na treść samej fałszywej wiadomości. Fałszywy alert finansowy, żądanie phishingu lub inna przynęta.
- Uruchamia automatyczną akcję, która zmusza Microsoft do wysłania wiadomości e-mail do ofiary. Często w tym celu oszust będzie próbował dodać adres e-mail ofiary do jej konta.
Ponieważ powiadomienie jest wysyłane przez system Microsoft, pochodzi z prawidłowego adresu „[chroniony e-mailem]”.
Treść listu? Minimalistyczny.
Żadnych złośliwych załączników. Żadnych podejrzanych linków prowadzących do fałszywych stron logowania. Tylko temat wiadomości e-mail i być może jakiś tekst w treści. Jaki rodzaj tekstu? Jest to to samo pole „Nazwa”, które atakujący zmienił wcześniej. Pojawia się w nagłówku lub treści wiadomości e-mail jako surowe dane z zaufanego źródła.
Główna luka leży w ustawieniach Microsoft Entra ID.
Filtry spamu sprawdzają nadawcę. Widzą firmę Microsoft i nie dostają wiadomości e-mail. Brak sygnatur złośliwego oprogramowania do uruchomienia. List jest technicznie czysty, chociaż ma złośliwe intencje.
Jak długo trwa ten atak?
Przez chwilę.
Być może zauważyłeś ostatnio, że ludzie narzekają na Twitterze (X), ale Abnormal opisał tę technikę już w styczniu. Napastnicy kochają skuteczność. Jeśli jedna metoda działa, tysiące innych ją kopiuje. Ta metoda omija najdroższe warstwy zabezpieczeń, opierając się na zaufaniu.
Dlaczego Twój dostawca poczty e-mail powinien blokować wiadomości e-mail pochodzące bezpośrednio z procesu weryfikacji dzierżawy firmy Microsoft? Nie powinien. Dopóki nie będziesz musiał.
Według doniesień firma Microsoft nie wydała jeszcze publicznego oświadczenia ani nie wydała poprawki dotyczącej tego konkretnego nadużycia w ustawieniach marki.
Zostajesz zatem sam z problemem.
Co teraz zrobić?
Zignoruj adres nadawcy.
Spójrz na kontekst. Czy poprosiłeś firmę Microsoft o zmianę nazwy najemcy? Najprawdopodobniej nie. Czy temat jest podobny do standardowego ogłoszenia, czy też zawiera konkretny wymóg?
„Napastnik udaje się do nieruchomości najemcy…”
Brzmi nudno. Wygląda to na biurokrację IT. Ale to właśnie ta nudna biurokracja staje się bronią.
Zachowaj czujność. Jeśli otrzymasz e-mail z tego adresu i nie spodziewałeś się niczego, przestań. Zamiast klikać łącza w wiadomościach e-mail, sprawdzaj adres URL w pasku adresu przeglądarki. Usuń podejrzane wiadomości.
Internet nie jest już bezpieczny. To po prostu wygodne.
Uważaj na siebie.
