- Bilgisayar korsanları, büyük enerji şirketlerinin kimlik bilgilerini çalmak için SharePoint e-postalarından yararlanıyor
- Saldırganlar, erişimi sürdürmek için gelen kutusu kuralları ve MFA değişiklikleriyle kalıcılık sağlar
- Microsoft, savunma için koşullu erişim ilkeleri ve kimlik avına karşı dayanıklı MFA öneriyor
Bilgisayar korsanları bir kez daha kullanıyor SharePoint’in Büyük enerji firmalarını hedef almak, çalışanların e-posta kimlik bilgilerini çalmak ve saldırıyı daha da yaymak.
Bu, yeni bir rapora göre MicrosoftEnerji sektöründeki “birden fazla” büyük kuruluşun zaten hedef alındığını iddia eden.
Saldırı daha önce tehlikeye atılmış bir yerden başlıyor e-posta hesabı. Dolandırıcılar bunu ilk temas için kullanıyor ve SharePoint bağlantısı içeren meşru görünen bir e-posta gönderiyor. Bağlantıya tıklandığında kurbanlar kimlik bilgileri toplayan bir web sitesine yönlendiriliyor ve burada oturum açmaları isteniyor.
Güvende kalmak için ne yapmalı
Giriş yapmaya çalışan mağdurlar aslında kimlik bilgilerini, gerçek kurumsal e-posta hesaplarına erişim sağlayan ve bu hesaplara farklı bir IP adresinden erişen saldırganlarla paylaşıyor. Bundan sonra kurbanlardan saklanırken kalıcılık sağlamak için birkaç adım atarlar.
Bu adımlar, gelen mesajları silmek için bir gelen kutusu kuralı oluşturmayı ve e-postaları okundu olarak işaretlemeyi içerir.
Son adımda, saldırganlar hem şirket içi hem de şirket dışı kişilerin yanı sıra dağıtım listelerine de büyük miktarda yeni kimlik avı e-postası gönderir. Gelen kutuları izleniyor, teslimat hatası ve OOO e-postaları siliniyor ve meşruiyet görünümünü korumak için yanıtlar okunuyor ve sorular yanıtlanıyor.
Microsoft, kampanya ve başarısıyla ilgili ayrıntıları paylaşmadı. Hedeflenen kuruluşların tam sayısını veya sonuç olarak kaç kişinin gelen kutularının ele geçirildiğini bilmiyoruz.
Şirket, ele geçirilenler için yalnızca parolayı sıfırlamanın yeterli olmayacağını, çünkü dolandırıcıların, devrilseler bile kalıcılığı mümkün kılan kurallar oluşturup ayarları değiştirdiklerini vurguladı.
“Ele geçirilen kullanıcının şifresi sıfırlansa ve oturumlar iptal edilse bile saldırgan, oturum açmak için kalıcı yöntemler ayarlayarak kontrollü bir şekilde oturum açabilir. MFA,” diye uyarıyor Microsoft.
“Örneğin, saldırgan, kayıtlı cep telefonu numarasına gönderilen tek kullanımlık şifreyle (OTP) oturum açmak için yeni bir MFA politikası ekleyebilir. Bu kalıcılık mekanizmalarının devreye girmesiyle saldırgan, geleneksel düzeltme önlemlerine rağmen kurbanın hesabı üzerinde kontrol sahibi olabilir.”
Microsoft, MFA’nın yanı sıra, belirli koşulların karşılanması durumunda alarmları tetikleyebilecek koşullu erişim ilkelerini de önerdi.
Aracılığıyla Kayıt
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin Video biçimindeki haberler, incelemeler ve kutu açma işlemleri için bizden düzenli güncellemeler alın WhatsApp fazla.