Скомпрометированные или вредоносные веб-сайты являются основным каналом распространения вредоносных инфекций для всех видов устройств. Вы можете избегать просмотра сомнительных веб-сайтов, что снизит ваши шансы заразиться вредоносными программами, но реальная проблема часто заключается в том, что мы не знаем, что подвергаемся этому риску.
Согласно , 91% всех атак начинается с фишингового письма, направленного ничего не подозревающей жертве. А 32% всех успешных атак используют техники фишинга. Несмотря на использование программ безопасности, усилия компаний по информированию пользователей об опасностях и предоставлению советов по обнаружению мошеннических электронных писем, тем не менее, этот тип атаки с использованием техник социальной инженерии продолжает пожинать плоды.
Теперь корпорация Microsoft одержала победу в своей юридической битве, чтобы помочь потребителям и бизнесу в борьбе с фишингом, и получила судебный приказ, который позволяет корпорации захватить контроль над вредоносными доменами, использующими поддельные электронные письма, связанные с COVID -19, в качестве приманки в мошеннических почтовых кампаниях.
Банда кибер-преступников с жертвами в 62 странах мира
Эти вредоносные домены использовались кибер-преступниками (пока неясно, где они действуют или откуда они происходят), которые воспользовались для распространения фишинговых кампаний с целью кражи данных у пользователей в 62 странах, пытаясь получить доступ к электронной почте пользователей, их контактам, конфиденциальным документам и другой ценной информации.
Теперь, после судебного иска в Вирджинии (США), Microsoft нацелилась на группу фишеров, работающих с декабря 2019 года и отправляющих поддельные электронные письма, которые якобы исходили от коллег по работе или деловых партнеров, компаниям, размещавшим почтовые серверы и корпоративную инфраструктуру в облаке Microsoft Office 365.
Основываясь на выявленных в то время закономерностях, Microsoft использовала ряд технических мер для блокировки кибер-преступной деятельности и отключения вредоносного приложения, использованного в атаке. Однако кибер-преступники изменили свою стратегию и стали использовать сообщения, связанные с COVID-19, чтобы нацелиться на потенциальных жертв и, используя финансовые проблемы у людей, вызванные пандемией, убедить их перейти по вредоносным ссылкам.
Данная конкретная фишинговая операция была уникальна тем, что атака не перенаправляла пользователей на веб-сайты, которые подделывали страницу входа в Office 365. Вместо этого хакеры использовали офисный документ. Если пользователи пытались открыть файл, им предлагалось установить стороннее приложение Office 365, созданное кибер-преступниками. Если жертва устанавливал а это приложение, то злоумышленники получали полный доступ к учетной записи жертвы в Office 365, ее настройкам, пользовательским файлам, содержимому электронной почты, спискам контактов и заметкам, а также к другим элементам.
Корпорация Microsoft объяснила, что с помощью стороннего приложения Office 365 хакеры получали весь необходимый им доступ к учетным записям пользователей без необходимости кражи паролей, просто получив вместо этого токен OAuth2. В корпорации пояснили, что первоначальные атаки преступной группы использовали в качестве приманки темы, связанные с предприятием и бизнесом, но они быстро переключились на электронные письма, содержащие документы на тему коронавируса, как только коронавирус COVID-19 стал глобальной пандемией.
Microsoft захватывает контроль над доменами, которые использовали тему коронавируса COVID -19 в качестве приманки для мошенничества
После рассмотрения дела суд издал приказ, разрешающий корпорации Microsoft взять под контроль доменные имена, используемые преступниками, и уничтожить их, чтобы предотвратить атаки.
Для защиты от фишинговых кампаний, включая (аферы с компрометацией корпоративной почты), корпорация Microsoft рекомендует включить двухфакторную аутентификацию, научиться распознавать фишинговые схемы и включить предупреждения безопасности для ссылок и файлов с подозрительных веб-сайтов.
Оригинал статьи:
Panda Security в России и СНГ
+7(495)105 94 51, marketing@rus.pandasecurity.com
