Notícias

Os agentes de phishing segmentam os administradores do Office 365 com alertas falsos de administração

Comprometer a conta de e-mail de um funcionário pode ser lucrativo para os golpistas BEC e para a distribuição de malware, mas o acesso à conta de administrador de um domínio de e-mail é um grande prêmio. Por esse motivo, é importante estar ciente dos golpes de phishing que não estão segmentando os usuários de uma organização, mas sim os administradores.

Os phishers que segmentam administradores estão se tornando mais populares devido à maior variedade de ataques que podem ser realizados por meio de uma conta de administrador. Com as credenciais de administrador, os invasores podem criar novas contas em um domínio da organização, enviar e-mails como outros usuários e ler o e-mail de outros usuários.

Para obter acesso à conta de um administrador, os phishers começaram a criar campanhas disfarçadas como alertas de administrador do Office 365. Esses alertas normalmente tratam de questões sensíveis ao tempo que exigem uma atenção imediata do administrador, como um problema com o serviço de correio ou o acesso não autorizado que está sendo descoberto.

E-mails de phishing do Office 365 Admin

Um exemplo de alerta falso encontrado pelo BleepingComputer é aquele que afirma que as licenças do Office 365 de uma organização expiraram. Em seguida, o email avisa para o usuário efetuar login no Centro de Administração do Office 365 para verificar as informações de pagamento.

E-mail de phishing informando que as licenças do Office 365 expiraram
E-mail de phishing informando que as licenças do Office 365 expiraram

Outro e-mail de phishing compartilhado conosco por Michael Gillespie  finge ser do Office 365 que está alertando o administrador que alguém obteve acesso a uma das contas de e-mail de seus usuários. Em seguida, ele solicita ao administrador “Investigar” o problema fazendo login.

Alerta sobre possíveis acessos não autorizados
Alerta sobre possíveis acessos não autorizados

Como esperado, quando você clicar nos links desses e-mails, você será levado a uma página de destino de phishing que solicita que você insira suas credenciais de login da Microsoft.

Por exemplo, o link “Investigar” no email acima levará a uma falsa página de login da Microsoft hospedada no domínio windows.net no Azure. Usando o Azure e um domínio windows.net adiciona mais legitimidade ao login.

Página de destino de phishing no Azure
Página de destino de phishing no Azure

Para torná-lo mais convincente, as páginas de phishing hospedadas no Azure são protegidas usando um certificado da Microsoft, conforme mostrado abaixo.

Certificado Windows.net
Certificado Windows.net

Como você pode imaginar, se um administrador se apegar a esse golpe e inserir suas credenciais na página, ele será roubado pelos invasores. A menos que essa conta tenha algum tipo de autenticação de dois fatores ativada, o invasor poderá obter acesso ao portal de administração do Office 365.

Ninguém cai nestes golpes, certo?

Você pode estar dizendo a si mesmo que nenhum administrador que se preze se deixa enganar por esses golpes e posso arriscar um palpite de que a maioria não aceita.

Infelizmente, muitos administradores de rede e de e-mail não estão devidamente treinados para serem administradores de TI e foram simplesmente empurrados para essa posição porque a empresa não podia pagar por um administrador de TI dedicado e ninguém melhor estava disponível.

Por exemplo, quando eu era consultor, eu via regularmente pequenos escritórios de advocacia, escritórios de contabilidade e práticas médicas em que o gerente do escritório ou um sócio era empurrado para a função administrativa. 

São esses tipos de administradores que não têm suporte de TI e experiência de administração adequados e que podem se encaixar nesses tipos de golpes de phishing.

Fonte

Mais Lidas

To Top