WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Microsoft cảnh báo chiến dịch lừa đảo qua email
Chiến dịch có tên “Compact” (Tinh gọn), diễn ra từ tháng 12/2020. Ước tính, hơn 400.000 thông tin đăng nhập Outlook Web Access và Office 365 đã bị xâm phạm.
Theo các nhà nghiên cứu thuộc Nhóm tình báo về mối đe dọa toàn cầu WMC, kẻ đứng sau chiến dịch tận dụng các miền đáng tin cậy để đảm bảo email lừa đảo vượt qua các biện pháp bảo vệ email.
Các tài khoản bị xâm nhập của dịch vụ gửi email SendGrid đã bị sử dụng để gửi đi nhiều email lừa đảo. Sau khi các tài khoản SendGrid bị dừng hoạt động, kẻ xấu đã chuyển sang sử dụng MailGun.
Hiện tại, theo Microsoft, các tin nhắn lừa đảo sẽ được gửi qua các tài khoản bị xâm nhập trên các dịch vụ tiếp thị qua email và tận dụng cài đặt cấu hình để vượt qua các biện pháp bảo vệ chống lừa đảo mà các tổ chức có thể áp dụng.
Microsoft tiết lộ, ngoài SendGrid, từ năm ngoái, kẻ điều hành chiến dịch đã bắt đầu sử dụng Amazon SES và sau đó là MailGun.
“Dữ liệu của chúng tôi cho thấy hoạt động lừa đảo này vẫn đang tiếp diễn và ngày càng mở rộng. Những kẻ tấn công lợi dụng một dịch vụ hợp pháp khác để che giấu ý định xấu từ các email lừa đảo. Để lẩn tránh các giải pháp an ninh dựa trên danh tiếng tên miền, chúng sử dụng Appspot để tạo nhiều URL lừa đảo duy nhất cho mỗi người nhận”.
Sau khi được thông báo, Appspot đã thực hiện các biện pháp ngăn chặn và đang làm việc với Microsoft để theo dõi chiến dịch này.
Một số email lừa đảo trong các cuộc tấn công này giả dạng thông báo từ các dịch vụ hội nghị truyền hình, trong khi các cuộc tấn công gần đây giả mạo các giải pháp bảo mật và công cụ tăng năng suất, theo Microsoft.
“Vì chiến dịch này sử dụng các tài khoản tiếp thị qua email đã bị xâm phạm, chúng tôi đặc biệt khuyến cáo người dùng nên xem xét các quy tắc luồng thư và cân nhắc các trường hợp ngoại lệ để tránh email lừa đảo lọt qua”.
Theo các nhà nghiên cứu thuộc Nhóm tình báo về mối đe dọa toàn cầu WMC, kẻ đứng sau chiến dịch tận dụng các miền đáng tin cậy để đảm bảo email lừa đảo vượt qua các biện pháp bảo vệ email.
Các tài khoản bị xâm nhập của dịch vụ gửi email SendGrid đã bị sử dụng để gửi đi nhiều email lừa đảo. Sau khi các tài khoản SendGrid bị dừng hoạt động, kẻ xấu đã chuyển sang sử dụng MailGun.
Hiện tại, theo Microsoft, các tin nhắn lừa đảo sẽ được gửi qua các tài khoản bị xâm nhập trên các dịch vụ tiếp thị qua email và tận dụng cài đặt cấu hình để vượt qua các biện pháp bảo vệ chống lừa đảo mà các tổ chức có thể áp dụng.
Microsoft tiết lộ, ngoài SendGrid, từ năm ngoái, kẻ điều hành chiến dịch đã bắt đầu sử dụng Amazon SES và sau đó là MailGun.
“Dữ liệu của chúng tôi cho thấy hoạt động lừa đảo này vẫn đang tiếp diễn và ngày càng mở rộng. Những kẻ tấn công lợi dụng một dịch vụ hợp pháp khác để che giấu ý định xấu từ các email lừa đảo. Để lẩn tránh các giải pháp an ninh dựa trên danh tiếng tên miền, chúng sử dụng Appspot để tạo nhiều URL lừa đảo duy nhất cho mỗi người nhận”.
Sau khi được thông báo, Appspot đã thực hiện các biện pháp ngăn chặn và đang làm việc với Microsoft để theo dõi chiến dịch này.
Một số email lừa đảo trong các cuộc tấn công này giả dạng thông báo từ các dịch vụ hội nghị truyền hình, trong khi các cuộc tấn công gần đây giả mạo các giải pháp bảo mật và công cụ tăng năng suất, theo Microsoft.
“Vì chiến dịch này sử dụng các tài khoản tiếp thị qua email đã bị xâm phạm, chúng tôi đặc biệt khuyến cáo người dùng nên xem xét các quy tắc luồng thư và cân nhắc các trường hợp ngoại lệ để tránh email lừa đảo lọt qua”.
Theo Security Week
Chỉnh sửa lần cuối: