Email Phishers sử dụng phương pháp mới để vượt qua Microsoft Office 365 Protections

[Cảnh báo] Email Phishers sử dụng phương pháp mới để vượt qua Microsoft Office 365 Protections

August 16, 2018 | vietsunshine

Các nhà nghiên cứu bảo mật đã cảnh báo về một cuộc tấn công lừa đảo mới mà bọn tội phạm mạng và kẻ lừa đảo email đang sử dụng trong tự nhiên để vượt qua cơ chế Advanced Threat Protection (ATP) được triển khai bởi các dịch vụ email được sử dụng rộng rãi như Microsoft Office 365.

Microsoft Office 365 là một all-in-solution cho người dùng cung cấp một số dịch vụ trực tuyến khác nhau, bao gồm Exchange Online, SharePoint Online, Lync Online và Office Web Apps, like Word, Excel, PowerPoint, Outlook và OneNote.

Nằm trong top đầu của dịch vụ này, Microsoft cũng cung cấp tính năng bảo mật và thông tin nhân tạo giúp bảo vệ chống lại các thư lừa đảo tiềm ẩn và các mối đe dọa khác bằng cách đi quét sâu các liên kết trong các nội dung email để tìm kiếm bất kỳ tên miền nào thuộc blacklist hoặc đáng ngờ.

Mặc dù với những nổ lực đó, kẻ tấn công vẫn tìm cách vượt qua các biện pháp bảo vệ để tấn công người dùng.

Chỉ hơn một tháng trước, những kẻ lừa đảo đã được tìm thấy bằng cách sử dụng kỹ thuật ZeroFont để bắt chước một công ty nổi tiếng và lừa người dùng đưa thông tin cá nhân và ngân hàng của họ.

Vào tháng 5 năm 2018, tội phạm mạng cũng đã tách URL độc hại theo cách mà tính năng bảo mật Safe Links trong Office 365 không xác định và thay thếhyperlink, cuối cùng chuyển hướng nạn nhân đến trang lừa đảo.

Cách hoạt động của Phishing SharePoint Attack?

microsoft-sharepoint-phishing-attack

Các vấn đề này sau đó đã được Microsoft giải quyết, nhưng bây giờ những kẻ lừa đảo đã được tìm thấy bằng cách sử dụng một thủ thuật mới để bỏ qua các bảo vệ tích hợp trong Office 365 và lừa đảo người dùng – lần này bằng cách chèn các liên kết độc hại vào các tài liệu SharePoint.

Công ty bảo mật đám mây Avanan, phát hiện hai cuộc tấn công lừa đảo trên, đã phát hiện ra một chiến dịch email lừa đảo mới trong mục tiêu người dùng Office 365, người đang nhận email từ Microsoft chứa liên kết tới tài liệu SharePoint.

Phần thân của thông báo email trông giống với lời mời SharePoint chuẩn từ một người nào đó để cộng tác. Khi người dùng nhấp vào liên kết trong email, trình duyệt sẽ tự động mở tệp SharePoint.

Nội dung của tệp SharePoint đóng vai trò yêu cầu truy cập chuẩn vào tệp OneDrive, nhưng một nút ‘Access Document’ trên tệp thực sự được siêu liên kết đến một URL độc hại, theo các nhà nghiên cứu.

Liên kết độc hại sau đó chuyển hướng nạn nhân đến màn hình đăng nhập Office 365 giả mạo, yêu cầu người dùng nhập thông tin xác thực đăng nhập của họ, sau đó được thu thập bởi tin tặc.

microsoft-sharepoint-phishing-attack 2

Microsoft quét nội dung của một email, bao gồm các liên kết được cung cấp trong đó, nhưng vì các liên kết trong chiến dịch email mới nhất dẫn đến một tài liệu SharePoint thực tế, công ty đã không xác định nó là một mối đe dọa.

“Để xác định mối đe dọa này, Microsoft sẽ phải quét các liên kết trong các tài liệu chia sẻ cho các URL lừa đảo. Điều này thể hiện một lỗ hổng rõ ràng mà tin tặc đã lợi dụng để tuyên truyền các cuộc tấn công lừa đảo”, các nhà nghiên cứu cho biết.

“Ngay cả khi Microsoft quét các liên kết trong các tệp, chúng sẽ phải đối mặt với một thách thức khác: họ không thể đưa vào danh sách đen URL mà không liệt kê các liên kết đến tất cả các tệp SharePoint. Nếu họ liệt kê toàn bộ URL của tệp Sharepoint, tin tặc có thể dễ dàng tạo URL mới.

Do đó không có sự bảo vệ nào có thể cảnh báo người dùng về phishing này, họ cần được training để có thể tự phát hiện ra những sự lừa đảo đó.

microsoft-office365-phishing-attack

Theo công ty bảo mật đám mây, cuộc tấn công lừa đảo mới này đã nhắm tới 10% khách hàng Office 365 của họ trong hai tuần qua và công ty tin rằng tỷ lệ tương tự áp dụng cho người dùng Office 365 trên toàn cầu.

Vì vậy, để bảo vệ chính mình, bạn nên cẩn thận với các URL trong nội dung email nếu nó sử dụng URGENT hoặc ACTION REQUIRED trong dòng chủ đề, ngay cả khi bạn nhận được email trông có vẻ an toàn.

Khi bạn đăng nhập 1 trang, bạn nên kiểm tra thanh địa chỉ trong trình duyệt web để biết liệu URL có thực sự được lưu trữ bởi dịch vụ hợp pháp hay không.

Quan trọng nhất, luôn luôn sử dụng xác thực hai yếu tố (2FA), vì vậy ngay cả khi kẻ tấn công có được quyền truy cập vào mật khẩu của bạn, họ vẫn cần phải bước xác thực thứ hai.

Tuy nhiên, các nhà nghiên cứu lưu ý rằng nếu cuộc tấn công này có liên quan đến việc tải xuống phần mềm độc hại thay vì hướng người dùng đến trang lừa đảo, “cuộc tấn công sẽ gây ra thiệt hại do người dùng nhấp vào và kiểm tra URL”.

Tags: ,