Jak cyberprzestępcy wykorzystują Microsoft Office Sway do kradzieży Twoich danych uwierzytelniających

Opublikowany: 2020-02-29

Nowa technika phishingu wykorzystuje program firmy Microsoft do atakowania organizacji, nawet jeśli z niego nie korzystają

Microsoft Office Sway znalazł się w centrum nowego problemu phishingowego.

W ciągu ostatnich kilku lat ataki phishingowe stały się głównym narzędziem, jakim dysponują cyberprzestępcy.

W rzeczywistości phishing stanowi aż 90% wszystkich naruszeń danych.

Padnięcie ofiarą takiego ataku może być katastrofalne (i często śmiertelne) dla firmy.

Średni koszt finansowy naruszenia danych to 3,86 mln USD

Powiązany post: Dlaczego plan odzyskiwania po awarii jest niezbędny dla małych i średnich firm

Biorąc pod uwagę rosnącą liczbę cyberataków na małe i średnie firmy — 43% wszystkich ataków jest wymierzonych w małe i średnie firmy — decydenci i właściciele są, co zrozumiałe, zaniepokojeni stanem cyberbezpieczeństwa.

Hakerzy poświęcają swój czas na wymyślanie nowych sposobów na oszukanie niczego niepodejrzewających ofiar.

Szczególnie niepokojący dla właścicieli firm jest wskaźnik skuteczności tych ataków.

30% wiadomości phishingowych jest otwieranych przez docelowych użytkowników, a 12% z nich kliknie szkodliwy załącznik lub odsyłacz w wiadomości e-mail.

Hakerzy mają teraz nowe ulubione narzędzie: Microsoft Sway.

Co to jest Microsoft Sway?

Microsoft Sway to jeden z najnowszych produktów w ramach wysiłków firmy zmierzających do zwiększenia inwestycji w usługi tylko w chmurze.

Wydany w 2015 r. Sway zasadniczo działa jako internetowa i mobilna wersja programu PowerPoint.

Gdzie PowerPoint jest starszy, niezgrabny i cięższy; Sway jest smukły, zgrabny, lekki i łatwy w użyciu.

Umożliwia użytkownikom tworzenie prezentacji i biuletynów oraz daje im stronę docelową dla ich swaya.

Dlaczego hakerzy używają Microsoft Sway do phishingu?

Dla cyberprzestępców kluczem jest autentyczność.

Podstawowe wiadomości phishingowe z błędami ortograficznymi i gramatycznymi, pikselowymi logo i podejrzanymi adresami e-mail są znacznie częściej wykryte przez użytkowników niż bardziej wyrafinowane próby.

Dzięki aplikacji Sway otrzymują stronę docelową, która przedstawia się jako autentyczna i legalna strona internetowa, która może łatwo oszukać niczego niepodejrzewające ofiary.

Istnieją cechy, które sprawiają, że Sway jest idealnym narzędziem dla przestępców, a mianowicie:

  • Strony Sway są hostowane w domenie office.com, co daje im kluczową pieczęć aprobaty, która pozwala im „zaufać” firmie Microsoft
  • Jeśli jesteś zalogowany na swoje konto Office, strony Sway są stylizowane za pomocą oznakowania Office 365, dzięki czemu wyglądają jeszcze bardziej autentycznie
  • Znajomy branding, taki jak logo SharePoint, między pierwszym kontaktem a zakończeniem, dodaje kolejny poziom autentyczności do tych oszustw

Spójrz na poniższe, czy byłbyś w stanie stwierdzić, że to było złośliwe? msofficeswayphishing

Jak to działa?

Hakerzy wykorzystują phishing za pomocą Microsoft Sway w podobny sposób, w jaki działa tradycyjna kampania phishingowa.

Powiązany post: Infografika: 13 najważniejszych statystyk dotyczących phishingu, które powinny znać małe i średnie firmy

Otrzymasz wiadomość e-mail, która prawdopodobnie będzie pochodzić z domeny powiązanej z firmą Microsoft, np. example.onmicrosoft.com.

Ponieważ firma Microsoft ufa domenom Sway i Office, adresy te często przechodzą przez ścisłe filtry poczty e-mail i trafiają bezpośrednio do Twojej skrzynki odbiorczej.

76% firm zgłosiło, że padło ofiarą ataku phishingowego w ciągu ostatniego roku

Po kliknięciu wiadomości e-mail zostaniesz przekierowany do strony docelowej — ta strona często będzie wyglądać jak znajomy ekran logowania do usługi Office 365.

Następnie, gdy wprowadzisz swoje dane uwierzytelniające w polach formularza nazwy użytkownika i hasła, będą mieli dostęp do twojego konta.

Możesz być podatny na te ataki, nawet jeśli nie używasz Swaya.

Jedyne, czego potrzebujesz, aby zaatakowali, to adres e-mail, na który mogą wysłać wiadomość.

Zwróć uwagę, jak przekonujący jest następujący ekran logowania:

perspektywyprzekonujące phishingscam01

Dlaczego odnoszą sukcesy?

Podczas gdy osoby atakujące od jakiegoś czasu używają Sway w swoich atakach, najczęstszym pojawiającym się zagrożeniem jest wysyłanie do użytkowników rzekomej poczty głosowej, a nawet faksów.

Jak każdy dobrze zaaranżowany atak phishingowy, działa on na twoją ciekawość, ponieważ zastanawiasz się, kto do ciebie dzwonił i dlaczego.

Wiele kampanii phishingowych jest łatwych do wykrycia przez użytkowników, ponieważ są one zaśmiecone prezentami, które wzbudzają podejrzenia.

Te nowe kampanie są inne, maksymalizując autentyczność i minimalizując wszystko, co mogłoby ujawnić jej prawdziwą naturę.

Ponieważ te ataki są czymś w rodzaju zjawiska dnia zerowego, istnieje niewiele zabezpieczeń.

Biorąc pod uwagę rozpowszechnienie tych zagrożeń, cyberprzestępcy prawdopodobnie będą w przyszłości wykorzystywać inne platformy, takie jak G-Suite firmy Google, do przeprowadzania ataków.

Przykład podejrzanej wiadomości e-mail dotyczącej otrzymanego faksu:

msswaybiuro01

Odpowiedź Microsoft na obawy związane z phishingiem

W odpowiedzi na falę ataków phishingowych Microsoft skomentował ich filtrowanie do TechRepublic:

„Wbrew twierdzeniom marketingowym firma Microsoft nie ufa automatycznie żadnej domenie, w tym domenom Office i Sway. Wszystkie łącza są analizowane, oceniane i porównywane ze znanymi wektorami ataków, w tym z domenami lokalnymi. Ponadto firma Microsoft przeprowadza pełną ocenę zawartości aplikacji Sway, w tym skanowanie łączy na stronach”.

Warto zauważyć, że pomimo odpowiedzi Microsoftu, kilka z tego rodzaju ataków rzeczywiście ominęło filtrowanie poczty e-mail Microsoftu i odniosło sukces dzięki użyciu domen Office i Sway, ponieważ nie są one blokowane.

Jak zachować ochronę?

Użytkownicy będący celem tych ataków prawie zawsze otrzymują tę samą wiadomość o poczcie głosowej lub faksie.

Umieszczanie nadawców na czarnej liście to gra polegająca na tym, że cyberprzestępcy wykorzystują wiele wielokrotności nadawców i adresów.

Wielu zamiast tego umieszcza stronę sway.office.com na czarnej liście w swoich filtrach, dopóki problem z phishingiem nie zostanie w pełni naprawiony przez firmę Microsoft.

Do tego czasu najlepszą radą jest zrobić to samo i edukować pracowników, aby jak najlepiej chronić siebie.

Ataki na cyberbezpieczeństwo prowadzą do naruszeń danych, które są niezwykle kosztowne dla organizacji, a w wielu przypadkach kosztują ich działalność.

W Impact nasz starannie sprawdzony program cyberbezpieczeństwa oferuje najlepsze w swojej klasie rozwiązania techniczne i szkolenia dla pracowników, aby zapewnić najlepszą ochronę, jaką może mieć firma. Aby uzyskać więcej informacji, zapoznaj się z naszą usługą Managed Cybersecurity i dowiedz się, jak możemy chronić Twoją firmę przed cyberatakami. Kliknij tutaj!