Campanha sofisticada ataca usuários de Microsoft 365
Uma campanha de phishing ainda pode estar em andamento, visando usuários da plataforma Microsoft 365 e é direcionada para executivos, assistentes e departamentos financeiros de empresas dentro da plataforma conforme noticiado pela mídia internacional.
Esta campanha é altamente sofisticada e direcionada a executivos de alto escalão, assistentes executivos e departamentos financeiros em vários setores da indústria que utilizam a plataforma da gigante de Redmond.
Em alguns casos, os invasores almejam CEOs recém-selecionados antes de sua nomeação se tornar pública, o que torna o ataque ainda mais perigoso neste curto período de oportunidade.
Por isso, podemos supor que os hackers tenham obtido acesso prévio às contas dessas empresas e fiquem observando à espera por uma janela de oportunidade.
Esta estratégia é comum, e muitas vezes os invasores cruzam dados da conta com redes sociais em busca de um padrão de comportamento ou oportunidade de agir. Algumas vezes eles podem aguardar, por exemplo, uma viagem de um alto executivo para solicitar pagamentos ou reembolsos ao seu assistente, ou mesmo esperar que algum novo fornecedor seja contratado para manipular informações de pagamento.
No caso desta campanha, a maioria dos e-mails de phishing são enviados de endereços com domínios de remetente com tema da Microsoft, com registros SPF configurados corretamente e são feitos para se parecer com mensagens da empresa, contendo alertas falsos sobre “Mudanças importantes no serviço”, “Atualização importante da política de segurança” etc. .
“A maioria das contas de e-mail direcionadas aos ataques seguia o formato clássico adotado pela maior parte das organizações como nome.sobrenome@domínio. e colocando os nomes completos nos anexos.
Porém, mesmo nos casos em que as empresas adotam outro padrão como a utilização de somente as dos nomes no endereço de e-mail, os invasores ainda conseguiram incluir o nome completo do alvo no anexo em PDF. Isso indica que os atores da ameaça realizaram reconhecimento adicional para criar cuidadosamente suas iscas de phishing ”, observaram os pesquisadores.
Principais tópicos deste artigo
Anexos maliciosos
Por meio de um anexo malicioso, o alvo é levado a um aviso falsificado com o tema da Microsoft e, em seguida, a uma página de login falsa do Microsoft 365 onde é solicitado os dados do usuário.
Se a vítima inserir seu endereço de e-mail, o invasor verifica que este é um endereço válido do Office 365. Nos casos em que o endereço de e-mail inserido usasse acesso condicional, um logon único (SSO) diferente, serviços de federação do Active Directory (ADFS), etc., o kit de phishing seria basicamente quebrado e a vítima seria simplesmente redirecionada para a página legítima de login.
A campanha em específico utilizou um alto nível de segmentação tendo como alvo apenas indivíduos selecionados em cada empresa – executivos de nível C,(CEO,CFO, CIO etc) e seus assistentes e funcionários do departamento financeiro.
Diversos fatores indicam ainda que os autores da ameaça possam estar interessados em uma lista de alvos pré determinada e bem específica.
Conforme observado antes, entre os alvos também há CEOs recém-selecionados, e os invasores obviamente esperavam pegá-los desprevenidos durante o período de transição.
Cada vez mais usuários lêem notícias sobre invasão de empresas e vazamento de dados e com isso acabam, por despreparo ou desconhecimento, clicando nestes ataques na tentativa de manter suas credenciais atualizadas.
Por este motivo, é importante avaliar sempre camadas extra de segurança mesmo que a fabricante já disponibilize algumas ferramentas.
É indicado que ao migrar para soluções como Microsoft365, empresas avaliem suas políticas de segurança e implementem ferramentas adicionais que proporcionem essa visibilidade das ameaças e que permitam ao administrador da rede remover estes e-mails com phishing mesmo depois de terem sido entregues ao usuário final.
Há no mercado, ferramentas que adicionam camadas de proteção ao Microsoft365 permitindo uma melhor gestão, detecção e bloqueio de ameaças como é o caso do HSC Mailinspector.
Foco no usuário
Algo em comum nesses ataques é o foco principal nos usuários à espera de algum descuido. Com isso se torna cada vez mais necessário que o usuário final seja treinado para a identificação de potenciais fraudes. Além disso é importante que a empresa tenha ferramentas que permitam a colaboração onde usuários mais atentos possam reportar fraudes para o administrador, impedindo que mais pessoas na empresa cliquem no mesmo link.
Há uma necessidade de conscientização de usuários para que este tipo de ataque seja minimizado nas organizações.
Conheça a melhor solução de proteção de e-mail
Proteção adicional
Algumas empresas já vem desenvolvendo ferramentas de proteção com módulos específicos que adicionam ao Microsoft365 algumas camadas extra de segurança como é o caso do Mailinspector, ferramenta da HSC que é líder no mercado de proteção para e-mails e possui módulos de proteção especificamente para Microsoft 365. O Mailinspector é capaz de filtrar as mensagens da plataforma MS365 em todos os sentidos, Mensagens de entrada, mensagens enviadas, mensagens de outros domínios dentro do Microsoft365 e mesmo as mensagens internas dentro do mesmo domínio.
A integração com o Office 365 permite que o Mailinspector interaja diretamente com a API da Microsoft, proporcionando diferenciais únicos que não estão contemplados em outras soluções de E-mail Security Gateway tradicionais. Esta integração, aliada a inteligência e experiência da HSC, permite implementar no Mailinspector recursos que vão muito além das ferramentas que a própria Microsoft disponibiliza para seus clientes.
Esta integração, a nível da Mailbox do usuário, também permite uma experiência única de administração, aumentando a visibilidade, gerenciamento de quarentenas e e-mails filtrados diretamente de sua caixa de entrada. O resultado disso é a simplificação e redução da necessidade de ação por parte do time interno de TI de nossos clientes.
O licenciamento da plataforma Mailinspector para Microsoft 365 é único e tem um custo benefício muito melhor do que as plataformas de outros fabricantes no mercado, incluindo a própria Microsoft.
Quer saber mais? Então fale com nossos especialistas!
Veja como a HSC Labs melhorou a segurança de e-mail do MP-Bahia
Treine a sua equipe em cibersegurança