Kỹ thuật Phishing hoạt động bất kể các công ty cố gắng bảo vệ khách hàng hoặc nhân viên của mình nhiều đến mức nào.
Các nhà nghiên cứu bảo mật đã cảnh báo về một cuộc tấn công lừa đảo mới mà tội phạm mạng và kẻ lừa đảo email đang sử dụng để vượt qua cơ chế Advanced Threat Protection (ATP) được thực hiện bởi các dịch vụ email đang sử dụng rộng rãi như Microsoft Office 365.
Microsoft Office 365 là một giải pháp “All-in-one” cho người dùng cung cấp một số dịch vụ trực tuyến khác nhau, bao gồm Exchange Online, SharePoint Online, Lync Online và các ứng dụng văn phòng trên Web khác: Word, Excel, PowerPoint, Outlook và OneNote.
Trên tất cả các dịch vụ này, Microsoft cũng cung cấp tính năng bảo mật sử dụng trí tuệ nhân tạo và học máy giúp bảo vệ chống lại các mối đe dọa tiềm tàng và các mối đe dọa khác bằng cách quét thêm một mức các liên kết trong phần thân của email để tìm kiếm bất kỳ tên miền bị liệt vào danh sách đen hoặc đáng ngờ nào.
Nhưng các bạn đã biết, những kẻ lừa đảo luôn tìm cách vượt qua các biện pháp bảo vệ an ninh để thu hút người dùng.
Hơn một tháng trước, những kẻ lừa đảo đã được tìm thấy bằng cách sử dụng
kỹ thuật ZeroFont để bắt chước một công ty nổi tiếng và lừa người dùng đưa thông tin cá nhân và ngân hàng của họ.
Vào tháng 5 năm 2018, tội phạm mạng cũng đã tìm thấy cách
tách URL độc hại mà tính năng bảo mật Safe Link trong Office 365 bị lỗi và thay thế một phần đường dẫn liên kết, cuối cùng chuyển hướng nạn nhân đến trang lừa đảo.
Cách hoạt động của Phishing SharePoint Attack?
Các vấn đề này sau đó đã được Microsoft giải quyết, nhưng bây giờ những kẻ lừa đảo đã tìm thấy cách sử dụng một thủ thuật mới để vượt qua các tính năng bảo vệ tích hợp trong Office 365 bằng cách chèn các liên kết độc hại vào các tài liệu SharePoint.
Công ty bảo mật đám mây Avanan, phát hiện hai cuộc tấn công lừa đảo trên,
đã phát hiện ra một chiến dịch email lừa đảo mới với mục tiêu người dùng Office 365, những ai đang nhận email từ Microsoft chứa liên kết tới tài liệu SharePoint.
Phần thân của thông báo email trông giống với lời mời SharePoint chuẩn từ một người nào đó để cộng tác. Khi người dùng nhấp vào liên kết trong email, trình duyệt sẽ tự động mở tập tin SharePoint.
Nội dung của tệp SharePoint giả mạo yêu cầu truy cập thông thường vào OneDrive, nhưng nút 'Tài liệu Access' trên tập tin thực sự được siêu liên kết đến một URL độc hại, theo các nhà nghiên cứu.
Liên kết độc hại sau đó chuyển hướng nạn nhân đến màn hình đăng nhập Office 365 giả mạo, yêu cầu người dùng nhập thông tin xác thực đăng nhập của họ, sau đó được thu thập bởi tin tặc.
Microsoft quét nội dung email, bao gồm các liên kết được cung cấp trong đó, nhưng vì các liên kết trong chiến dịch email mới nhất dẫn đến một tài liệu SharePoint thực tế, nên Microsoft không xác định nó là mối đe dọa.
"Để xác định mối đe dọa này, Microsoft sẽ phải quét các liên kết trong các tài liệu chia sẻ cho các URL lừa đảo. Điều này thể hiện một lỗ hổng rõ ràng mà tin tặc đã lợi dụng để lan truyền các cuộc tấn công lừa đảo", các nhà nghiên cứu cho biết.
"Ngay cả khi Microsoft quét các liên kết trong các tập tin, chúng sẽ phải đối mặt với một thách thức khác: chúng không thể liệt kê danh sách đen mà không có danh sách đen liên kết đến tất cả các tập tin SharePoint. . "
Do đó, không có sự bảo vệ nào có thể cảnh báo người dùng lừa đảo, cho đến khi và trừ khi chúng ta không được huấn luyện đủ để phát hiện những nỗ lực lừa đảo đó.
Theo công ty bảo mật điện toán đám mây, cuộc tấn công lừa đảo mới này đã ảnh hưởng tới 10% khách hàng Office 365 của họ trong hai tuần qua.
Vì vậy, để bảo vệ chính mình:
-
Bạn nên nghi ngờ các URL trong nội dung email nếu nó sử dụng URGENT hoặc ACTION REQUIRED trong dòng chủ đề, ngay cả khi bạn nhận được email an toàn.
-
Khi trình bày một trang đăng nhập, bạn nên luôn kiểm tra thanh địa chỉ trong trình duyệt web để biết liệu URL có thực sự được lưu trữ bởi dịch vụ hợp pháp hay không.
-
Quan trọng nhất, luôn luôn sử dụng xác thực hai yếu tố (2FA), vì vậy ngay cả khi kẻ tấn công có được quyền truy cập vào mật khẩu của bạn, họ vẫn cần phải đấu tranh cho bước xác thực thứ hai.
Tuy nhiên, các nhà nghiên cứu lưu ý rằng nếu cuộc tấn công này có liên quan đến việc kích hoạt tải xuống phần mềm độc hại thay vì hướng người dùng đến trang lừa đảo, "cuộc tấn công sẽ gây ra thiệt hại do thời gian người dùng nhấp và điều tra URL".