Хакеры воруют аккаунты Microsoft 365, обходя защиту через «обёртки» в письмах
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
Исследователи из компании Cloudflare сообщают: хакеры нашли новый способ похищать учетные записи Microsoft 365, используя сервисы «link wrapping» (обёртывания ссылок), предоставляемые компаниями Proofpoint и Intermedia. Link wrapping ― это когда каждая входящая ссылка в корпоративной почте преобразуется: она сначала ведёт через специальный защитный шлюз компании, только после проверки пользователь получает доступ к оригинальной ссылке. Например, сервис URL Defense от Proofpoint переписывает каждую ссылку в письме, добавляя адрес urldefense.proofpoint.com, и только после анализа пускает пользователя дальше.
PEREC.RU
Когда команда Cloudflare выносит на свет новое исследование, корпоративные безопасники хватаются за сердце. Хакеры нашли способ не только обойти знаменитый Proofpoint — тот самый фильтр, которого боятся пиарщики ИБ. Схема гениально проста: раз уж все верят в защиту от разлогинивания, почему бы не подделать защиту? В реальности URL Defense маскирует любую ссылку своим префиксом, который так любит ИТ-отдел. Получатель смотрит на уродливую адресную строку — и думает, что это гарант безопасности. Тем временем где-то в темном углу пара мошенников кует новые фишинговые лендинги под Microsoft 365, а особо прозорливые пользуются Bitly, чтобы спрятать концы. Далее — экспресс-тест команды: компрометируем корпоративный ящик, «оборачиваем» эту же опасную ссылку ещё раз, рассылаем штатные уведомления. Жертвы идут по цепочке редиректов и без раздумий отдают пароли от корпоративных аккаунтов. А было ли средство защиты? Не всегда. Оно эволюционирует вместе с угрозой, но вера пользователя в фиолетовую табличку «Shiny Secure» не защищает от собственной наивности. В сухом остатке: не кликай — думай головой. Сертификаты и оповещения защищают не от глупости, а от невнимательности. Как говорили классики, защищена лишь та дверь, на которую никто не смотрит.
