Це офіційно. Адреса [email protected] більше не гарантує безпеку.
Якщо вам нещодавно приходило смс з підозрілим посиланням або лист із темою, що занадто натискає, перевірте адресу відправника. Якщо там вказана саме ця адреса — ви знайшли каверзу. Так, це Microsoft. Так, адреса справжня. І ось у цьому вся проблема.
Шахраї не підробляють домен. Вони використовують саму систему у своїх цілях.
Вразливість довіри
Нас навчають перевіряти адресу відправника. * «Якщо стоїть @microsoft.com, значить лист легітимний»*, — думаємо ми. Але це правило перестало працювати.
Атакуючі знайшли хитрий і простий спосіб перехопити систему повідомлень. Їм не потрібно зламувати сервери Microsoft. Їм потрібно лише орендувати один обліковий запис.
Кібербезпечна компанія Abnormal детально описала цю схему:
- Зловмишник створює разовий обліковий запис Microsoft 365.
- Він входить у налаштування брендингу орендаря (Tenant Branding), зокрема у Microsoft Entra ID.
- Він змінює поле «Ім’я» цього орендаря на текст шахрайського повідомлення. Фальшиве фінансове попередження, запит фішингу або будь-яка інша приманка.
- Він запускає автоматичну дію, яка змушує Microsoft надіслати листа жертві. Часто для цього шахрай намагається додати електронну пошту жертви до свого облікового запису.
Оскільки повідомлення надсилає система Microsoft, воно надходить з легітимної адреси [email protected].
Зміст листа? Мінімалістичне.
Жодних шкідливих вкладень. Жодних підозрілих посилань, що ведуть на фальшиві сторінки входу. Лише тема листа і, можливо, невеликий текст у тілі. А що це за текст? Це те саме поле «Ім’я», яке зловмисник змінив раніше. Воно відображається у заголовку або тілі листа як сирі дані від довіреного джерела.
Основна вразливість полягає в налаштуваннях Microsoft Entra ID.
Фільтри спаму дивляться на відправника. Вони бачать Microsoft і пропускають листа. Жодних сигнатур шкідливого ПЗ, які могли б спрацювати. Лист технічно чистий, хоча й має зловмисну мету.
Як довго триває ця атака?
Деякий час.
Ви могли помітити скарги людей у Twitter (X) останнім часом, але компанія Abnormal описувала цей прийом ще у січні. Зловмишники люблять ефективність. Якщо один метод працює, його копіюють тисячі інших. І цей метод обходить найдорожчі рівні безпеки, спираючись на довіру.
Чому ваш провайдер електронної пошти повинен блокувати лист, який надійшов безпосередньо від процесу верифікації орендаря Microsoft? Йому годі. Доти, доки не доведеться.
За наявними даними Microsoft ще не зробила публічної заяви і не випустила виправлення для цього конкретного способу зловживання налаштуваннями брендингу.
Так що ви залишаєтеся віч-на-віч з проблемою.
Що робити зараз?
Ігноруйте адресу відправника.
Дивіться контекст. Ви попросили Microsoft змінити ім’я вашого орендаря? Скоріш за все, ні. Тема листа схожа на стандартне повідомлення чи містить конкретну вимогу?
«Атакуючий перетворюється на властивості орендаря…»
Звучить нудно. Звучить як IT-бюрократія. Але саме ця нудна бюрократія стає зброєю.
Будьте напоготові. Якщо вам надійшов лист із цієї адреси, а ви не чекали нічого, зупиніться. Перевіряйте URL-адресу в адресному рядку браузера, а не клацніть на посилання в листі. Видаляйте підозрілі повідомлення.
Інтернет більше безпечний. Він просто зручний.
Бережіть себе.
