Microsoft.com wordt gespooft in spearphishing aanval richting 200 miljoen Office 365 gebruikers

Er is een spearphishing aanval aan de gang die het domein Microsoft.com aan het spoofen is om zo e-mails te sturen naar 200 miljoen Microsoft Office 365 gebruikers. Deze bedrijven bevinden zich in belangrijke sectoren zoals financiële diensten, gezondheidszorg, fabricage en nutsbedrijven.

De onderzoekers van Ironscales hebben de campagne ontdekt, omdat duizenden mailboxen van ongeveer 100 van hun klanten ook e-mails hebben ontvangen door de spearphishing campagne. In een rapport van maandag 7 december geeft Lomy Ovadia, de vice president van R&D, aan dat ook andere sectoren het doelwit zijn zoals telecom en verzekeringsbedrijven.

Wat maakt deze aanval anders?

Deze aanval is voornamelijk misleidend, omdat het gebruik maakt van het exact spoofen van het domein. “Dit komt voor wanneer een email die wordt verstuurd van een frauduleus domein dat een exacte match is met het gespooft merk domein,” geeft Ovadia aan in het rapport. Dit betekend dat gebruikers die weten dat ze altijd de domeinnaam van de afzender moeten controleren of deze legitiem is, hier ook in kunnen trappen. Dit komt, omdat de gespoofte domeinnaam Microsoft.com exact overeenkomt en gebruikers hiermee het verschil niet kunnen zien.

De aanval bestaat uit een echt lijkende email die probeert gebruikers over te halen om gebruik te maken van een nieuwe Office 365 functionaliteit die ervoor kan zorgen dat e-mails die per ongeluk als spam of phishing zijn gemarkeerd nog teruggehaald kunnen worden. De berichten komen van de afzender ‘Microsoft Outlook’.

Het fraudeleuze bericht in de email is opgesteld in urgente en zelfs angst zaaiende taal om gebruikers te overtuigen op de kwaadaardige link te klikken zonder te aarzelen. Zoals in het bericht staat zal de link de gebruikers doorsturen naar een security portaal waar gebruikers berichten in quarantaine kunnen reviewen en de juiste actie op nemen. Deze berichten zouden hierin geplaatst zijn door de Exchange Online Protection (EOP) filtering stack, welke sinds september dit jaar beschikbaar is.

Wat gebeurt er als de gebruiker op de link klikt?

Wanneer gebruikers besluiten om op de link te klikken, dan worden ze gevraagd om hun legitieme Office 365 login credentials in te vullen op een neppe inlogpagina die van de aanvallers is. Deze aanvallers verzamelen deze credentials en verkopen deze naar alle waarschijnlijkheid op het dark web, volgens Ironscales.

Een interessant aspect van de campagne is het succes om langs secure email gateway (SEG) controls te komen. Normaal gesproken is het niet moeilijk om exacte domain spoofs te detecteren. In eerder onderzoek geeft Ironscales aan dat ze deze tactiek in minder dan 1 procent van de totale spoofing aanvallen hebben gezien die langs SEGs komen in een jaar tijd.

DMARC

“Zelfs niet Cloud-native en legacy email security tools zijn aardig efficiënt in het stoppen van dit soort aanvallen,” geeft Ovadia aan. De reden dat SEGs traditioneel gezien exacte domein spoofing kunnen voorkomen is, omdat wanneer deze goed geconfigureerd is, deze compatible is met de domain-based message authentication, reporting & conformance (DMARC). Dit is een email authenticatie protocol dat gebouwd is specifiek voor het stoppen van exacte domein spoofing (SPF/DKIM).

Ironscales vond ook een nadeel bij de Microsoft servers, aangezien deze op dit moment nog niet het DMARC protocol afdwingen, dit betekend dat exacte domein spoofing berichten worden doorgelaten door functionaliteiten als Office 365 EOP en Advanced Threat Protection.

“Iedere andere email dienst die DMARC respecteert en afdwing zou deze e-mails blokkeren,” schrijft Ovadia. “Het is onbekend waarom Microsoft toestaat dat hun eigen domein “Microsoft.com” gespooft kan worden tegen hun eigen email infrastructuur.”

Het maakt de situatie nog bijzonderder, omdat Microsoft normaal gezien een van de top domeinnamen is om te spoofen of zelfs de meest gespoofte domeinnaam in phishing campagnes is. In dit geval wordt Microsoft.com gespooft.

Advies

Om deze aanvallen te mitigeren, adviseert Ironscales organisaties om hun email verdedigings- en beschermingssystemen te configureren voor DMARC. Hiermee zou het mogelijk moeten worden om e-mails te detecteren en af te wijzen die afkomstig zijn van deze Office 365 spearphishing campagne, zoals staat in het rapport.

“Geavanceerde mailbox-level email beveiliging dat constant de mailboxen van iedere medewerker bekijkt op abnormaliteiten gebaseerd op zowel email data als metadata die gehaald is uit eerdere vertrouwde communicaties, kunnen helpen om een email spoof te stoppen die er tussendoor is geglipt,” voegt Ovadia toe.

Hiermee wordt aangetoond dat wanneer je gebruikers traint op het herkennen van phishingmails door onder andere te controleren op het domein van de afzender, gebruikers hier alsnog in kunnen trappen, omdat de e-mail beveiliging niet goed geconfigureerd is om deze gespoofte e-mails tegen te houden.

Eerdere berichten

Ander Cybersecurity nieuws lezen? Bekijk ook eens onze andere recente berichten:

Meerdere botnets maken misbruik van kritieke Oracle WebLogic kwetsbaarheden
Backdoor aangetroffen in SolarWinds Orion software updates

Gerelateerde berichten

dnsspooq

DNSpooq een verzameling van verschillende kwetsbaarheden voor DNSMasq DNS Forwarder

malware

Kwaadaardige software infrastructuur eenvoudiger te verkrijgen en uit te rollen dan ooit

2021

Cybersecurity Trends in 2021

6 vragen die aanvallers zichzelf stellen, voordat ze overgaan op het aanvallen van een systeem

Contact Form 7

Kritieke kwetsbaarheid in Contact Form 7 WordPress plug-in maakt overname van 5M sites mogelijk

SolarWinds

Backdoor aangetroffen in SolarWinds Orion software updates

Oracle

Meerdere botnets maken misbruik van kritieke Oracle WebLogic kwetsbaarheden

Google diensten worden misbruikt in phishing en BEC campagnes

cisco

Onderzoeker onthult kritieke RCE-tekortkomingen in Cisco Security Manager

Ransomware

Gestolen data na een ransomware aanval wordt niet altijd verwijderd

Oracle

Oracle brengt noodpatch uit voor kritieke kwetsbaarheid in WebLogic Server

Microsoft 365

Grootste gedeelte van Microsoft 365 administrators activeert MFA niet

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

7 − 2 =

Menu