Az energiaszektor Microsoft-fiókjaira csaptak le, ömlöttek a kamu e-mailek

Professzionális adathalászat SharePointtal

A támadóknak korábban kompromittált e-mail-címek jelentették a belépőt az energiaszektorbeli cégekhez, ahol aztán legitimnek tűnő SharePoint-linkeket tartalmazó e-maileket küldtek – például olyan tárggyal, mint „Új javaslat – NDA”. Aki rákattintott a linkre, egy hitelesítési oldalra jutott, ahol meg kellett adnia a felhasználónevét és jelszavát, ezzel újabb fiókokat szolgáltatva ki a bűnözőknek.

Titkos fiókátvétel és levelezési szabályok

Miután a támadók megszerezték a fiókadatokat, más IP-címről jelentkeztek be, majd automatikus szabályt állítottak be, amely minden bejövő levelet törölt vagy olvasottnak jelölt. Így zavartalanul tudtak újabb kamu e-maileket kiküldeni – egy cégnél több mint 600 ilyen levelet továbbítottak adathalász linkekkel a kompromittált felhasználó összes kontaktjainak és levelezőlistáinak.

Kitartó támadás, nehéz védekezés

A támadók folyamatosan figyelték az áldozatok fiókjait, törölték a kézbesíthetetlenségi értesítéseket és az automatikus távolléti válaszokat, sőt még a gyanús kérdésekre is válaszoltak, majd ezeket is törölték. Bár a legkézenfekvőbb védelem a jelszócsere, ennél jóval összetettebb támadásról van szó: akár új, a saját mobiljukhoz kötött kétlépcsős azonosítást is beállíthatnak maguknak, így a hagyományos védekezés nem elég.

Valódi védelem: többlépcsős azonosítás és figyelés

A kifinomult támadások ellen feltétlenül szükséges a feltételes hozzáférési szabályok bevezetése és a korszerű levélszűrő- és adathalászat-ellenes megoldások alkalmazása. Ezek például az IP-cím, csoporttagság vagy eszközállapot alapján képesek azonosítani gyanús bejelentkezéseket, illetve megakadályozni az ilyen típusú adatszivárgást.

2025, adrienne, go.theregister.com alapján