ФБР попередило про новий набір інструментів “Фішинг як сервіс” (Phishing-as-a-Service, PhaaS), який націлений на облікові записи Microsoft 365 в рамках складної, але доступної кампанії.
Сервіс Kali365 PhaaS дозволяє зловмисникам отримувати постійний доступ до середовищ Microsoft 365 шляхом крадіжки токенів OAuth через фішингові листи, створені штучним інтелектом, які перенаправляють користувачів на легітимні сторінки перевірки Microsoft. Як тільки зловмисник отримує токен OAuth, він може отримати доступ до сервісів Outlook, Teams та OneDrive без необхідності проходити будь-які додаткові механізми перевірки або автентифікації.
“Платформи “Фішинг як сервіс” (PaaS), такі як Kali365, стають дедалі популярнішими, перетворюючи хакерство на висококомерціалізований бізнес за підпискою. Це означає, що зловмисники можуть використовувати ці готові рішення замість створення інфраструктури з нуля, що значно знижує бар’єри для входження”, — зазначає Дебора Галеа, експертка з кібербезпеки у Filigran.
Подібні фішингові кампанії покладаються на людську помилку для зламу облікових записів, але, на щастя, існує кілька кроків, які можна вжити, щоб захистити облікові записи та ширші середовища Microsoft 365. Ось 3 способи, як можна убезпечити себе від кампанії Kali365 PhaaS.
Фішингова пильність
Фішингові листи можуть мати різні формати. Це можуть бути запрошення на співбесіду, запити на доступ до документів і багато іншого. Зловмисники використовують інструменти ШІ для створення надзвичайно переконливих фішингових листів, які можуть обходити фільтри спаму та змішуватися зі звичайним поштовим трафіком.
“Kali365 є особливо небезпечним, оскільки він обходить багатофакторну автентифікацію (MFA) без крадіжки облікових даних і дозволяє зловмисникам захоплювати облікові записи Microsoft 365. Рекомендуємо компаніям впроваджувати превентивні заходи, такі як обмеження потоку коду пристрою, блокування передачі автентифікації та впровадження стійкої до фішингу MFA”, — зазначає Галеа.
IT-адміністраторам слід звертати увагу на останні рекомендації, що надходять з каналів розвідки загроз, щодо тенденцій фішингових листів та поточних кампаній. Крім того, персонал можна навчити виявляти фішингові листи та повідомляти про них за допомогою регулярних симуляцій, які імітують реальні тактики, техніки та процедури (TTPs), що використовуються зловмисниками. Користувачі також повинні бути пильними щодо несподіваних запитів на автентифікацію облікового запису Microsoft, особливо коли користувач не намагався увійти в систему.
Політики умовного доступу (Conditional Access Policies)
ФБР рекомендує активувати політики умовного доступу, які блокують потік коду пристрою для всіх користувачів. Блокування потоку коду пристрою заважає роботі основного механізму перехоплення коду Kali365 OAuth. У процесі атаки Kali365 зловмисник надсилає заздалегідь згенерований код пристрою зі свого пристрою разом із легітимною сторінкою перевірки Microsoft.
“Попередження ФБР щодо Kali365 підтверджує тенденцію, яку ми спостерігаємо в корпоративних середовищах Microsoft 365 вже кілька місяців. Зловмисники більше не зламують Microsoft 365, вони входять у систему, використовуючи функції, які Microsoft створила для легітимних цілей. Потік коду пристрою існує не просто так, саме так розумні телевізори та пристрої IoT підключають вас до вашого облікового запису. Зловмисники просто зрозуміли, що це чудовий примітив для фішингу, оскільки саме користувач натискає “схвалити” на справжній сторінці Microsoft. MFA не може врятувати вас від процесу, де користувач сам проходить MFA”, — говорить Андреа Сівієрі, головний директор з продуктів та технологій у CoreView.
Код, надісланий зловмисником, потім вводиться жертвою на сторінці автентифікації, що дозволяє зловмиснику увійти в обліковий запис жертви. Після цього зловмисник викрадає токени доступу та оновлення OAuth, щоб отримати доступ до Outlook, Teams та OneDrive без потреби в паролі чи автентифікації.
“Прикра частина полягає в тому, що головна рекомендація ФБР — блокування потоку коду пристрою за допомогою політики умовного доступу — це те, що будь-який адміністратор Microsoft 365 міг би активувати сьогодні. Причина, чому більшість організацій цього не зробили, полягає в тому, що умовний доступ у реальному корпоративному середовищі — це хаотичне розростання політик, які редагувалися багатьма людьми протягом тривалого часу. Ніхто не може бути впевнений, що саме зламається, якщо заблокувати один потік. Тому політика залишається відкритою, а зловмисники продовжують свою діяльність”, — зазначає Сівієрі.
Завдяки блокуванню цього методу автентифікації, навіть якщо жертва попадеться на фішинговий лист і введе код, вхід зловмисника зазнає невдачі. Але перед застосуванням універсального блокування потоку коду пристрою обов’язково проведіть аудит поточного використання, щоб визначити, де автентифікація за допомогою потоку коду пристрою використовується легітимно. Блокування легітимного використання в певних випадках може порушити повсякденну діяльність.
Блокування політик передачі автентифікації (Block Authentication Transfer Policies)
Щоб полегшити життя користувачам 365, Microsoft додала функцію, яка дозволяє користувачеві використовувати довірений пристрій для сканування QR-коду, що відображається на іншому пристрої, для автентифікації входу. Проте, ця зручна функція полегшує зловмисникам автентифікацію власного доступу до облікового запису жертви після того, як вони викрали токени OAuth.
СпецпроєктиКонкурс авторських статей ITC.ua + Proove продовжується: прийом робіт до 31 травняНайтонший робот-пилосос в Україні: що варто знати про Dreame X60 Ultra Complete
“Тут є важливіший урок для будь-якої організації, яка веде свій бізнес на Microsoft 365. Наступний злам у великій компанії почнеться не з того, що хакер використає вразливість. Він почнеться з того, що співробітника дуже ввічливо попросять виконати легітимну дію всередині легітимного продукту Microsoft. Захист — це не кращі технології, це видимість у реальному часі того, що насправді змінюється всередині корпоративного середовища, та дисципліна переглядати політики безпеки, які непомітно застарівають”, — додає Сівієрі.
Отримавши доступ до облікового запису жертви, зловмисник може використовувати свій новий “довірений” пристрій для автентифікації власних запитів на доступ до облікового запису. Блокування політик передачі автентифікації не лише заважає зловмисникам автентифікувати власні сесії, але й може допомогти запобігти входу співробітників з неконтрольованих особистих пристроїв, що може поставити під загрозу дані компанії.
Китаєць майже 5 років крав оборонне ПЗ у NASA та армії США через звичайні фішингові листи
Джерело: TechRadar
Дякую за корисну інформацію! Важливо бути уважними й не відкривати підозрілі листи, навіть якщо вони виглядають дуже правдоподібно. Захист власних даних має бути пріоритетом для кожного.
Дякую за підтримку! Саме так, обережність і регулярне оновлення захисту допоможуть уникнути загроз і зберегти ваші дані в безпеці. Бережіть себе!