Office 365 wykorzystywany do atakowania komputerów firmowych

Jak donosić serwis cybernews.com oszuści wykorzystują usługę Office 365 do atakowania wysokiej rangi kadry kierowniczej. System działania hakerów wydaje się bardzo prosty. Przestępcy zmieniają poświadczenia osób zarządzających infekując system weryfikacji DocuSign. Dzięki temy są w stanie dostać się do wiadomości e-mail. Wyszukują oni informacji o transakcjach na spore kwoty. Gdy mają już „na oku” konkretną transakcję, przeprowadzają zmianę konta bankowego. Wysyłają więc do zainteresowanych informację o konieczności zmiany konta bankowego z powodu problemów technicznych. Wiadomość taka wysyłana jest przez hakera udającego osobę decyzyjną dużej korporacji.

Ataki phisingowe

Oczywiście jak w wielu podobnych przypadkach, także i tutaj mamy do czynienia z atakami phishingowymi. Zainfekowane wiadomości wysyłane są do dyrektorów organizacji. Gdy ci „złapią się”, hakerzy rozpoznają środowisko i przygotowują spreparowany załącznik w celu przekierowania transakcji korporacyjnych. Jak przekonują eksperci cytowani przez serwis chodzi o transakcje warte kilka milionów dolarów każda.

Amazon właścicielem irobot. Co czeka użytkowników?Michał Górecki

Przykłady? Z konta jednego z dyrektorów wyszła sfabrykowana przez hakerów informacja o konieczności zmiany rachunku bankowego z tego powodu, że aktualny rachunek został zablokowany z powodu kontroli finansowej. W związku z tym prosi się o przelewanie pieniędzy na tymczasowy rachunek. W rzeczywistości było to konto należące do oszustów. Co istotne, wiadomość zawierała całą historię dotychczasowej korespondencji co powodowało, że wyglądała na bardzo wiarygodną. Mało tego. Cyberprzestępcy stworzyli też fałszywą bramkę płatniczą i podszyli się pod operatora płatności. Śledztwo przeprowadzone przez firmę Mitiga, izraelski startup wyspecjalizowany w ochronie cybernetycznej dowiodło, że w przypadku zaatakowanej firmy takie działanie można było przeprowadzić bardzo prosto. Udało się jednak zapobiec oszukańczej transakcji. Gdyby jednak hakerom ta sztuka by się udała, firma poniosłaby straty liczone w milionach dolarów. Jak się okazało, przestępcy chcieli przekierować środki na konta w Singapurze.

Jak wygląda atak przez Office 365

No dobrze, ale jak dokładnie dochodzi do próby ataku? Cyberprzestępcy typują ofiarę wśród wysoko postawionych menedżerów, osób decyzyjnych. Wysyłają do takiej osoby wiadomość wymagającą weryfikacji podpisem elektronicznym. Gdy ofiara chce zrealizować dyspozycję, jest przekierowywana na stronę cyberprzestępcy.

„Ofiara wpisuje swoją nazwę użytkownika i hasło, które są przesyłane bezpośrednio do Office365 podczas sesji między cyberprzestępcą a firmą Microsoft. Aplikacja uwierzytelniająca na telefonie ofiary wymaga weryfikacji drugiego stopnia nowo utworzonej sesji. Dla atakującego tworzona jest ważna sesja, gdy ofiara zatwierdza logowanie. Gdy cały proces jest finalizowany, na ekranie komputera ofiary pojawia się informacja o błędzie. W tym momencie cyberprzestępcy mają już dostęp do profilu uwierzytelniającego ” – wyjaśnia Mitiga.

To pozwala przestępcom całkowicie swobodnie korzystać z zasobów Office 365. Mogą czytać wiadomości, wysyłać pliki i różne informacje. Jednak w polu zainteresowania hakerów są informacje o transakcjach na wysokie kwoty.

Czy próby takich ataków są przeprowadzone na firmy zlokalizowane w Polsce? Eksperci tej konkretnej firmy nie wspominają o takich przypadkach

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.