Чувајте се СЕАБОРГИУМ пхисхинг шеме ако сте Мицрософт клијент

  • Ово је озбиљна порука и сви Мицрософт клијенти би је требали третирати као такву.
  • Компанија Редмонд издаје право упозорење у вези са СЕАБОРГИУМ пхисхинг-ом.
  • Злонамерне треће стране могу да се инфилтрирају у ваш систем користећи измишљене ОнеДриве поруке е-поште.
пхисхинг

Баш кад сте помислили да је најновији Закрпа безбедносних ажурирања у уторак покрио скоро све празнине у Мицрософтовој одбрамбеној мрежи, технолошки гигант доноси још узнемирујућих вести.

Центар за обавештавање претњи компаније Редмонд, или МСТИЦ, издао је озбиљно упозорење о пхисхинг кампањи под називом СЕАБОРГИУМ.

Ово није новост за стручњаке за безбедност, пошто ова шема постоји у основи од 2017. године, Мицрософт је направио важан блог пост у вези СЕАБОРГИЈА.

Управо ћемо вам показати како функционише тако што ћемо погледати неке свеобухватне смернице које би потенцијалним жртвама могле помоћи да га избегну.

Како функционише СЕАБОРГИУМ пхисхинг шема?

Знамо да се сада вероватно питате шта ову пхисхинг кампању чини тако опасном за Мицрософт кориснике.

Па, требало би да знате да је то заправо начин на који злонамерне треће стране покрећу напад. Прво, виђено је да спроводе извиђање или детаљно посматрање потенцијалних жртава користећи лажне профиле на друштвеним мрежама.

Као резултат тога, креира се и много адреса е-поште како би се опонашали стварни ИД-ови аутентичних особа за контактирање изабраних циљева.

И не само то, већ потенцијално штетне поруке е-поште могу доћи и од такозваних важних безбедносних фирми, које нуде едукацију корисника о сајбер безбедности.

Мицрософт је такође навео да СЕАБОРГИУМ хакери испоручују злонамерне УРЛ адресе директно у е-поруци или путем прилога, често имитирајући услуге хостовања као што је Мицрософтов сопствени ОнеДриве.

Штавише, технолошки гигант је такође навео употребу ЕвилГинк пхисхинг комплета у овом случају који се користи за крађу акредитива жртава.

Као што је компанија рекла, у најједноставнијем случају, СЕАБОРГИУМ директно додаје УРЛ у тело своје пхисхинг е-поште.

Међутим, с времена на време, злонамерне треће стране користе скраћиваче УРЛ-ова и отворена преусмеравања да би сакриле своју УРЛ адресу са циљне и уграђене заштитне платформе.

Е-пошта варира између лажне личне преписке са хиперлинкираним текстом и лажних имејлова за дељење датотека који имитирају низ платформи.

Примећено је да кампања СЕАБОРГИУМ користи украдене акредитиве и директно се пријављује на налоге е-поште жртве.

Тако, на основу искуства стручњака за сајбер безбедност који реагују на упаде овог актера у име наших клијената, компанија је потврдила да су следеће активности уобичајене:

  • Ексфилтрација обавештајних података: СЕАБОРГИУМ је примећен како ексфилтрира мејлове и прилоге из пријемног сандучета жртава.
  • Подешавање сталног прикупљања података: У ограниченим случајевима примећено је да СЕАБОРГИУМ поставља правила за прослеђивање из сандучића жртве на налоге које контролише актери где актер има дугорочни приступ прикупљеним подацима. У више наврата смо приметили да су актери могли да приступе подацима мејлинг листе за осетљиве групе, као што су посећују бивши званичници обавештајних служби и одржавају колекцију информација са мејлинг листе за накнадно циљање и ексфилтрација.
  • Приступ људима од интереса: Било је неколико случајева када је СЕАБОРГИУМ примећен како користи своје налоге за лажно представљање да би олакшао дијалог са специфични људи од интереса и, као резултат тога, били су укључени у разговоре, понекад ненамерно, укључујући више страна. Природа разговора идентификованих током истраге од стране Мицрософта показује да се деле потенцијално осетљиве информације које би могле да обезбеде обавештајну вредност.

Шта могу да урадим да се заштитим од СЕАБОРГИЈА?

Све горе поменуте технике за које је Мицрософт рекао да их користе хакери заправо се могу ублажити усвајањем безбедносних разматрања наведених у наставку:

  • Проверите подешавања за филтрирање е-поште Оффице 365 да бисте били сигурни да блокирате лажне е-поруке, нежељену пошту и е-поруке са малвером.
  • Конфигуришите Оффице 365 да онемогућите аутоматско прослеђивање е-поште.
  • Користите укључене индикаторе компромиса да истражите да ли постоје у вашем окружењу и процените потенцијални упад.
  • Прегледајте све активности аутентификације за инфраструктуру удаљеног приступа, са посебним фокусом на налоге конфигурисан са аутентификацијом са једним фактором, да потврди аутентичност и истражи све аномалије активност.
  • Захтевати вишефакторску аутентификацију (МФА) за све кориснике који долазе са свих локација, укључујући и запажене поуздана окружења и сва инфраструктура која је окренута интернету – чак и она која долази из локалне средине система.
  • Искористите сигурније имплементације као што су ФИДО токени или Мицрософт Аутхентицатор са подударањем бројева. Избегавајте МФА методе засноване на телефонији да бисте избегли ризике повезане са прикључивањем СИМ картице.

За Мицрософт Дефендер за Оффице 365 клијенте:

  • Користите Мицрософт Дефендер за Оффице 365 за побољшану заштиту од крађе идентитета и покривеност од нових претњи и полиморфних варијанти.
  • Омогућите аутоматско чишћење од нултог сата (ЗАП) у Оффице 365 да бисте ставили у карантин послату пошту као одговор на новостечену претњу обавештајне податке и ретроактивно неутралишу злонамерне пхисхинг, непожељне или малвер поруке које су већ испоручене до поштанских сандучића.
  • Конфигуришите Дефендер за Оффице 365 да поново провери везе на клик. Сигурне везе омогућавају скенирање УРЛ-ова и поновно уписивање долазних порука е-поште у току поште и верификацију времена клика за УРЛ адресе и везе у е-порукама, другим Оффице апликацијама као што су тимови и другим локацијама као што је СхареПоинт Онлине. Скенирање безбедних веза се дешава поред редовне заштите од нежељене поште и малвера у долазним порукама е-поште у Екцханге Онлине Протецтион (ЕОП). Скенирање сигурних веза може помоћи у заштити ваше организације од злонамерних веза које се користе у пхисхинг и другим нападима.
  • Користите симулатор напада у Мицрософт Дефендер-у за Оффице 365 да бисте покренули реалистичне, али безбедне, симулиране кампање за крађу идентитета и нападе лозинком унутар ваше организације. Покрените симулације спеар-пхисхинга (харвест акредитива) да бисте обучили крајње кориснике да не кликну на УРЛ адресе у нежељеним порукама и открију њихове акредитиве.

Имајући све ово на уму, требало би двапут да размислите пре него што отворите било коју врсту прилога који долази у е-поруци из сумњивог извора.

Можда мислите да је једноставан клик безопасан, али у ствари, то је све што је нападачима потребно да се инфилтрирају, угрозе и искористе ваше податке.

Да ли сте приметили неку сумњиву активност у последње време? Поделите своје искуство са нама у одељку за коментаре испод.

7 савета да уочите неоткривену Нортон 360 превару е-поште

7 савета да уочите неоткривену Нортон 360 превару е-поштеНортон издањаПхисхингЕмаилсцаммерс

Преваре путем е-поште су уобичајене, а недавно су корисници Нортона 360 постали њихове жртве. Преваранти су слали е-поруке корисницима тврдећи да им је претплата истекла и да ће им бити наплаћено о...

Опширније
Како уочити преваре геек тима: 10 безбедносних савета за 2022

Како уочити преваре геек тима: 10 безбедносних савета за 2022ПревареПхисхинг

Имејлови за превару Геек Скуад-а део су сложене преваре о пхисхинг-у која траје већ дуже време.Преварант вам шаље е-пошту у којој тврди да је претплата на Геек Скуад истекла и биће аутоматски обнов...

Опширније
Корисници Мицрософт Маил-а циљани су у новој кампањи за пхисхинг

Корисници Мицрософт Маил-а циљани су у новој кампањи за пхисхингПхисхинг

Безбедност на мрежи је само релативна, илузија у очима многих стручњака за безбедност.Фирма за сајбер безбедност Зсцалер повукла је насловнице са нове АиТМ пхисхинг кампање.Мете су корисници Мицрос...

Опширније