הונאת פישינג חדשה מנצלת את Microsoft 365 כדי לפגוע בארגונים
תוקפים שימוש בפיצ'ר של Exchange Online והצליחו לעקוף מנגנוני אבטחה בארגונים
תמונה: Pexels
אם אתם סומכים על מיילים שמגיעים מתוך המערכת, אנחנו מצטערים לבאס אבל בזה הרגע צריך לעלות אצלכם חשש חדש. ארגונים בכל העולם בנו את מנגנוני האבטחה שלהם סביב ההנחה שתעבורה פנימית היא בטוחה, כזו שאפשר להרשות לה לעבור בלי לבדוק פעמיים, אבל קמפיין חדש ומפתיע במיוחד מוכיח עד כמה קל לעקוף את ההגנות האלה מבלי לפרוץ אף חשבון ובלי לעורר כמעט שום חשד.
מאחורי הקמפיין עומדים תוקפים שגילו איך לנצל פיצ'ר לגיטימי ב־Microsoft 365 בשם Direct Send, כלי שמאפשר למכשירים ואפליקציות לשלוח מיילים בתוך אותה המערכת מבלי לעבור אימות. מדובר בתכונה שנועדה לשימוש פנימי בלבד, ולכן לא דורשת סיסמה, טוקן או אפילו התחברות למערכת.
לפי צוות החוקרים של חברת Varonis שחשפה את המקרה, התוקפים משתמשים ב־PowerShell כדי לשלוח מיילים שנראים כאילו נשלחו על ידי משתמש ארגוני אמיתי, דרך כתובת שמתחזה לדומיין של הארגון. מה שהופך את הפעולה למסוכנת במיוחד היא העובדה שהמייל עובר בתשתית של מיקרוסופט ולכן נראה כמו תעבורה פנימית לגיטימית. מערכות אבטחה רבות, כולל Exchange Online Protection וסינון של הודעות צד ג', לא מתריעות כשאין חריגה בזיהוי השולח או כשאין ניסיון התחברות חריג. במקרה הזה, לא נעשתה אפילו כניסה לחשבון.
על פי החוקרים, יותר מ־70 ארגונים כבר נפלו קורבן להונאה, רובם אמריקאיים. בחלק מהמקרים, נשלחו הודעות שהתחזו להתראות קוליות עם קובץ PDF וקוד QR שהפנה לאתר פישינג שנועד לגנוב פרטי התחברות ל־Microsoft 365.
החוקרים תיארו מקרה שבו התקבלה התראה על התנהגות חריגה ופעילות מאזור חריג ועל כן לא צפוי, וכתובת שולח ההודעה נחשפה ככתובת IP מאוקראינה. לטענתם, בדרך כלל התראות כאלה מלוות בניסיונות התחברות למערכת אבל הפעם לא נרשמה אף התחברות, רק פעילות של שליחת מיילים, חלקם אפילו נשלחו מהמשתמש לעצמו.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
מה אפשר לעשות?
ב־Varonis מציעים לעשות כמה שינויים כדי לוודא שדבר כזה לא יקרה גם אצלכם. קודם כל, כדאי לכבות את האפשרות לשלוח מיילים בלי הזדהות דרך ממשק הניהול של Exchange. אחר כך, להחמיר את ההגדרות של אימות השולחים (DMARC) כדי שמיילים לא מאומתים פשוט ייחסמו. אם מגיע מייל פנימי שלא עבר אימות, לסמן אותו כ"דרוש לבדיקה". גם חשוב להפעיל מדיניות שנקראת SPF hardfail, שמונעת ממיילים מזויפים להיראות כאילו הגיעו מכם.
מלבד זאת, בחברה המליצו להפעיל חוקים שמונעים התחזות לשמות פנימיים, ללמד את העובדים לזהות מיילים שנראים חשודים גם כשהם נראים "מהבית", ולהגדיר כתובת IP קבועה למיילים שיוצאים מהמערכת שלכם – כדי שיהיה ברור שהם באמת מכם. וכמובן שלא לוותר על אימות דו שלבי לכל המשתמשים ולהפעיל מדיניות שמגבילה כניסה ממקומות או תנאים לא רגילים.
