Это официально. Адрес [email protected] больше не гарантирует безопасность.
Если вам недавно приходило смс с подозрительной ссылкой или письмо со слишком нажимающей темой, проверьте адрес отправителя. Если там указан именно этот адрес — вы нашли подвох. Да, это Microsoft. Да, адрес настоящий. И вот в этом вся проблема.
Мошенники не подделывают домен. Они используют саму систему в своих целях.
Уязвимость доверия
Нас учат проверять адрес отправителя. «Если стоит @microsoft.com, значит, письмо легитимное», — думаем мы. Но это правило перестало работать.
Атакующие нашли хитрый и простой способ перехватить систему уведомлений. Им не нужно взламывать серверы Microsoft. Им нужно лишь арендовать один аккаунт.
Кибербезопасная компания Abnormal детально описала эту схему:
- Злоумышник создает разовый аккаунт Microsoft 365.
- Он заходит в настройки брендинга арендатора (Tenant Branding), в частности в Microsoft Entra ID.
- Он меняет поле «Имя» этого арендатора на текст самого мошеннического сообщения. Фальшивое финансовое предупреждение, фишинговый запрос или любая другая приманка.
- Он запускает автоматическое действие, которое заставляет Microsoft отправить письмо жертве. Часто для этого мошенник пытается добавить электронную почту жертвы в свой аккаунт.
Поскольку уведомление отправляет система Microsoft, оно приходит с легитимного адреса [email protected].
Содержание письма? Минималистичное.
Никаких вредоносных вложений. Никаких подозрительных ссылок, ведущих на фальшивые страницы входа. Только тема письма и, возможно, небольшой текст в теле. А что за текст? Это то самое поле «Имя», которое злоумышник изменил ранее. Оно отображается в заголовке или теле письма как сырые данные от доверенного источника.
Основной уязвимость кроется в настройках Microsoft Entra ID.
Фильтры спама смотрят на отправителя. Они видят Microsoft и пропускают письмо. Никаких сигнатур вредоносного ПО, которые могли бы сработать. Письмо технически чисто, хотя и имеет злонамеренную цель.
Как долго длится эта атака?
Некоторое время.
Вы могли заметить жалобы людей в Twitter (X) в последнее время, но компания Abnormal описывала этот прием еще в январе. Злоумышники любят эффективность. Если один метод работает, его копируют тысячи других. И этот метод обходит самые дорогостоящие уровни безопасности, опираясь на доверие.
Почему ваш провайдер электронной почты должен блокировать письмо, пришедшее напрямую от процесса верификации арендатора Microsoft? Ему не следует. До тех пор, пока не придется.
По имеющимся данным, Microsoft еще не сделала публичного заявления и не выпустила исправление для этого конкретного способа злоупотребления настройками брендинга.
Так что вы остаетесь один на один с проблемой.
Что делать сейчас?
Игнорируйте адрес отправителя.
Смотрите на контекст. Вы просили Microsoft изменить имя вашего арендатора? Скорее всего, нет. Тема письма похожа на стандартное уведомление или содержит конкретное требование?
«Атакующий переходит в свойства арендатора…»
Звучит скучно. Звучит как IT-бюрократия. Но именно эта скучная бюрократия становится оружием.
Будьте начеку. Если вам пришло письмо с этого адреса, а вы не ожидали ничего, остановитесь. Проверяйте URL в адресной строке браузера, а не кликайте по ссылкам в письме. Удаляйте подозрительные сообщения.
Интернет больше не безопасен. Он просто удобен.
Берегите себя.
