Hibás levelezési konfigurációk kihasználása adathalász támadásokban

enlightened Ez az oldal a közösségért készül. heart Kövess minket máshol is:  Linux Mint Magyar Közösség a Mastodon-on  Telegram csatorna – csak hírek  Beszélgessünk a Telegram – Linux csevegő csoport  Hírek olvasása RSS segítségével  Linux Mint Hivatalos Magyar Közösség a Facebook-on      Linux Mint Baráti Kör a Facebook-on
wink Ha hasznosnak találod, és szeretnéd, hogy folytatódjon, támogasd a munkát Ko-fi vagy Paypal segítségével. laugh

kami911 képe
Beküldte kami911 -

A Microsoft figyelmeztetése szerint a kiberbűnözők adathalász kampányaik során egyre gyakrabban használják ki az összetett levelezési útvonalakat, valamint a nem megfelelően konfigurált domainmegszemélyesítés elleni védelmi mechanizmusokat. A támadási technika alapja legitim domainek megszemélyesítése, amelynek következtében az üzenetek úgy tűnnek, mintha belső levelezésből származnának, ez pedig jelentősen növeli az adathalász támadások sikerességét.

Az ilyen jellegű kampányok jellemzően opportunista jellegűek, és gyakran phishing‑as‑a‑service (PhaaS) platformokra, például a Tycoon2FA‑ra épülnek. A célpontok különböző iparágakból kerülnek kiválasztásra, a támadások során pedig elsősorban dokumentummegosztással, HR‑kommunikációval, számlázással, jelszó‑visszaállítással, valamint hangpostával kapcsolatos megtévesztő üzeneteket alkalmaznak. A megszerzett hitelesítő adatok üzleti levelezési visszaélésekhez (BEC) illetve adatlopási műveletekhez használhatók fel.

A támadási felület kialakulásához hozzájárul, hogy az érintett szervezetek komplex levelezési útvonalakat konfigurálnak anélkül, hogy a DMARC és SPF szabályokat szigorúan érvényesítenék, valamint az MX rekordok nem az Office 365‑re mutatnak. Ez lehetővé teszi a támadók számára, hogy olyan üzeneteket küldjenek, melyek úgy tűnnek, mintha a szervezetek saját domainjeiből származnának.

A Microsoft hangsúlyozza, hogy a jelenség nem a Direct Send szolgáltatás hibájából fakad, hanem a helytelen konfiguráció következménye. A vállalat állítása szerint a DMARC reject és SPF hard fail beállítások, valamint a harmadik féltől származó csatlakozók (third-party connectors) megfelelő konfigurálása jelentősen csökkentheti a támadások kockázatát, ezért ezeket mindenféleképpen érdemes alkalmazni.

A Tycoon2FA-hoz hasonló platformok teljes támadói infrastruktúrát biztosítanak az adversary‑in‑the‑middle (AiTM) típusú adathalász támadások végrehajtásához, amelyek révén a többtényezős hitelesítés (MFA) is megkerülhető. A Microsoft emellett eszköztárat biztosít a levelezési csatlakozók helyes konfigurálásához, valamint az ehhez hasonló támadások felderítéséhez és kezeléséhez.

(forrás, forrás)