Когда Федеральное бюро расследований (ФБР) публикует специальное предупреждение для общественности о появлении нового фишингового набора, к этому стоит отнестись со всей серьезностью.
В настоящее время агентство предупреждает о «Kali365» — платформе типа «фишинг как услуга» (PhaaS), которая позволяет даже малоопытным злоумышленникам взламывать учетные записи Microsoft 365 путем кражи токенов доступа вместо паролей.
Хотя в первых сообщениях основное внимание уделяется атакам на организации, используемая при этом методика с одинаковой легкостью работает и против отдельных пользователей Microsoft 365, которых обманом заставляют ввести короткий код на подлинном веб-сайте Microsoft. Другими словами, это не просто проблема для компаний или ИТ-отделов. Она может затронуть любого, у кого есть Outlook, OneDrive или подписка на Microsoft 365.
Для киберпреступников, использующих этот набор, он дает три явных преимущества:
- Он обходит многофакторную аутентификацию (MFA) путем кражи токенов доступа, поэтому дополнительные коды или приложения теряют свою эффективность, как только токен оказывается скомпрометирован.
- Kali365 обеспечивает постоянный доступ. Злоумышленники могут продолжать пользоваться Outlook, Teams и OneDrive без необходимости повторного входа в систему, пока украденный токен обновления остается действительным.
- Для этого не требуется особых технических навыков. Киберпреступники могут подписаться на Kali365 и сразу же запустить масштабные кампании по краже токенов.
Как выглядит эта атака?
Жертвы получают фишинговое сообщение, которое выглядит так, будто оно пришло от облачного сервиса или инструмента для совместной работы, например в виде уведомления об обмен документами или Teams . Сообщение содержит короткий «код устройства» и инструкции типа: «Перейдите на страницу подтверждения Microsoft и введите этот код, чтобы просмотреть документ».
Мошенничество или честный бизнес? Scam Guard знает.
В отличие от многих фишинговых писем, это письмо перенаправляет вас на настоящий URL-адрес Microsoft, используемый для процедуры входа на устройстве. Для пользователя страница выглядит знакомой и вполне легитимной, что снижает настороженность.
Затем жертвы видят стандартные экраны входа в систему и согласия от Microsoft и могут подумать, что просто проходят обычную проверку безопасности. Они никогда не попадают на поддельную страницу, не вводят свой пароль в подозрительную форму и могут даже увидеть фирменный стиль своей организации.
Но они не осознают, что тем самым предоставили злоумышленнику доступ к системе.
Как только жертва одобрит запрос, устройство злоумышленника получает токены доступа и обновления OAuth, привязанные к учетной записи Microsoft 365 жертвы. Именно эти токены Microsoft использует для того, чтобы «запомнить», что вы уже вошли в систему, и их можно повторно использовать для доступа к Outlook, OneDrive, Teams и другим сервисам Microsoft без повторного ввода пароля.
Имея действующие токены обновления, злоумышленники могут сохранять доступ в течение длительного времени до тех пор, пока токены не будут отозваны или не истечет их срок действия, при этом их действия часто не выделяются на фоне обычной активности учетной записи.
Такой доступ может позволить киберпреступникам:
- Читать письма в Outlook, включая сообщения о сбросе пароля
- Доступ к файлам, хранящимся в OneDrive или SharePoint
- Отправлять фишинговые письма коллегам, клиентам, друзьям или родственникам с аккаунта жертвы
Как защитить себя
Получив доступ к Outlook, злоумышленники могут не только читать ваши сообщения, но и отправлять новые, выглядящие вполне правдоподобно, с вашего адреса, используя вашу личность для взлома других учетных записей и доступа к контактам.
Вот несколько советов, как избежать этой ситуации:
- Никогда не вводите код на странице входа в систему Microsoft только потому, что вам это предложили в электронном письме или сообщении. Делать это следует только в том случае, если вы сами инициировали вход в систему на своем собственном устройстве.
- Не торопитесь и внимательно читайте инструкции. Поспешное утверждение входа в систему без внимательного ознакомления с инструкциями может дорого обойтись.
- С осторожностью относитесь к неожиданным предложениям о совместном доступе к документам, Teams или запросам на вход в систему, даже если для этого используются официальные страницы Microsoft.
- Проверьте, какие устройства подключены к вашей учетной записи, на сайте https://account.microsoft.com/devices/. Если вы заметили незнакомые устройства или входы в систему, удалите их, смените пароль учетной записи Microsoft и проверьте настройки безопасности.
Совет от эксперта: функция Malwarebytes Guardпоможет вам определить, является ли сообщение мошенническим.
Давайте посмотрим правде в глаза: окно в режиме инкогнито имеет свои ограничения.
Утечки данных, торговля в даркнете, мошенничество с кредитными картами. Malwarebytes Identity Theft отслеживает все эти угрозы, оперативно предупреждает вас и включает в себя страховку от кражи личных данных.
