هجمات تصيد تستهدف بيانات اعتماد Microsoft Office 365

يتم إرسال رسائل البريد الإلكتروني من حسابات شرعية تم اختراقها إلى العديد من موظفي المؤسسة بهدف سرقة بيانات اعتماد O365 الخاصة بهم.

استفاد المهاجمون الذين يقفون وراء الهجمات الأخيرة على شركات الاستثمار من المئات من حسابات البريد الإلكتروني المخترقة والشرعية من أجل استهداف المنظمات برسائل البريد الإلكتروني، والتي تتظاهر بأنها إشعارات تسليم المستندات.

قال باحثون من شركة Abnormal Security في تحليل يوم الاثنين: “يشير الاستخدام الواسع النطاق لمئات الحسابات المخترقة وعناوين URL التي لم يسبق لها مثيل إلى أن الحملة مصممة لتجاوز حلول استخبارات التهديدات التقليدية المعتادة على السماح بالحسابات المعروفة والمخترقة في البريد الوارد”.

يبدأ الهجوم بإغراء يقنع مستلمي البريد الإلكتروني بأنهم تلقوا مستندًا. ينتحل البريد الإلكتروني صفة شركات مثل eFax، وهي خدمة فاكس عبر الإنترنت تجعل من السهل تلقي رسائل الفاكس عبر البريد الإلكتروني أو عبر الإنترنت.

يستخدم نموذج بريد إلكتروني العلامة التجارية الشرعية للفاكس الإلكتروني وله عنوان بريد إلكتروني: “مستند (مستندات) التسليم اليومي # -0003351977”. يخبر المستلمين، “لديك فاكس جديد!” ويتضمن صورة صغيرة تمثل نموذجًا لصورة فاكس استلمه المستلم على ما يبدو. يخبر البريد الإلكتروني المستلمين أيضًا بـ “النقر على المرفق لعرضه” ويحتوي على رابط في زر يقول “عرض المستندات”.

يبدو أن البريد الإلكتروني شرعي ويحتوي حتى على علامة في الجزء السفلي تسوّق خطط eFax تخبر المستلمين: “نصيحة: بدّل إلى خطة سنوية – إنها مثل الحصول على شهرين مجانًا كل عام! اتصل بالرقم (800)958-2983 أو أرسل بريدًا إلكترونيًا إلى help@mail.efax.com.

قال باحثون: “المثال أعلاه هو واحد من العديد من الحملات المصممة بالمثل والتي تنشأ من حسابات مخترقة متعددة”. “سبب عمل التجاوز هو أن عناوين البريد الإلكتروني المخترقة معروفة وموثوق بها من قبل المؤسسة بناءً على اتصالات سابقة وشرعية”.

قال باحثون إن عناوين URL المضمنة تعيد التوجيه إلى صفحات تصيد وهمية لم يسبق لها مثيل في Microsoft Office 365، وقالوا إنه تم اكتشاف المئات من هذه الصفحات المقصودة للتصيد الاحتيالي ويتم استضافتها على مواقع النشر الرقمية مثل Joom وWeebly وQuip.

تتضمن الصفحة المقصودة مرة أخرى نموذجًا لصورة فاكس ومعرف المتصل والرقم المرجعي، وتطلب مرة أخرى من المستلمين “عرض المستند”.

قال باحثون هنا، “يحاول المهاجم إضفاء الشرعية على الحملة بصفحات مقصودة تبدو رسمية مشابهة لتلك التي يستخدمها الفاكس الإلكتروني”.

عندما ينقر الموظف فوق ارتباط “عرض المستندات” التالي، يتم نقله إلى حملة التصيد الاحتيالي النهائية لبيانات الاعتماد.

مما يجعل اكتشاف هذه الحملة ومنعها أكثر صعوبة، قال باحثون: “عندما يتم اكتشاف بريد إلكتروني واحد واكتشافه، يبدو أن المهاجمين يشغّلون سكربت يغير الهجوم إلى مرسل جديد منتحل الهوية ورابط تصيد لمواصلة الحملة.

واجه مستخدمو Microsoft Office 365 العديد من هجمات التصيد الاحتيالي وعمليات الاحتيال المعقدة على مدار الأشهر القليلة الماضية. في أكتوبر، حذر الباحثون من حملة تصيد احتيالي تتظاهر بأنها رسالة آلية من Microsoft Teams في الواقع، كان الهجوم يهدف إلى سرقة بيانات اعتماد تسجيل دخول مستلمي Office 365.

 في أكتوبر أيضًا، استهدف هجوم تصيد بيانات اعتماد Office365 قطاع الضيافة، باستخدام اختبارات CAPTCHA المرئية لتجنب الاكتشاف والظهور شرعيًا.

أخيرًا، في وقت سابق من هذا الشهر، انتحل هجوم خادع موقع Microsoft.com لاستهداف 200 مليون مستخدم لـ Microsoft Office 365 في عدد من الأسواق الرأسية الرئيسية، بما في ذلك الخدمات المالية والرعاية الصحية والتصنيع ومزودي المرافق.