Borið hefur á bylgju vefveiðapósta í nafni Microsoft þar sem sendandi þykist vera IT support og að lykilorð sé að renna út. Einnig hefur borið á því að yfirteknir aðgangar hafa verið notaðir í að senda út vefveiðarpósta sem innihalda hlekk á skjal og þarf viðtakandi að auðkenna sig til að fá aðgang að skjalinu. Viðtakandi treystir póstinum því hann kemur frá þekktum tengilið sem gerir það að verkum að hann er líklegri til að falla fyrir svikunum. Tölvupóstarnir eru vel skrifaðir og mjög trúverðugir því eru margir fallið fyrir þeim.
Hvernig virka svikin?
1. Viðkomandi fær annarsvegar póst frá IT Support að lykilorð sé að renna út:
Eða viðtakandi fær póst frá þekktum tengilið um það að sé verið að deila skjali.
2. Skjalið opnað
Í báðum tilfellum er viðtakandi beðið um auðkenningu til að halda áfram. Viðtakandi þarf þá að slá inn núverandi lykilorð svo hann geti breytt lykilorðinu eða slá inn lykilorð til þess að fá aðgang að skjali sem deilt var með honum. Með þessu er árásaraðili komin með aðgang að pósthólfi viðkomandi, án tveggja þátta auðkenningu með því að nota Cookie session fórnalambsins.
3. Ef smellt er á “Open” aftur þá opnast vefveiðisíðan.
4. Ef fyllt er út auðkennisupplýsingar og MFA kemst árásaraðilinn inn.
Fólk heldur að það þurfi að auðkenna sig til að sjá hvað er í skjalinu eða til að breyta lykilorðinu
Ráðleggingar CERT-IS
Vekja athygli starfsfólks á þessari svikaherferð og auka varúð
-
Ítreka við starfsfólk að skoða vandlega slóðina á innskráningarsíðum
Helsta innskráningssíða Microsoft er t.d. login.microsoftonline.com, þó önnur lén séu mögulega notuð.
Fólk ætti alltaf að spyrja ráða ef það er í vafa
-
Skoða hvort „Perfect Data“ frá Perfect Data Solutions sé tengt við M365 aðganga starfsfólks
Þetta er ekki spillihugbúnaður en gerir kleift að exporta öllum gögnum úr pósthólfinu
-
Fylgjast með fjölda IP erlendra tala sem eru að skrá sig inn á aðganga starfsfólks.
Árásaraðilar í þessari herferð eru oft að tengjast frá mörgum (4-8) erlendum IP tölum inn á sama aðgang innan við 24 tíma
Einnig hefur borið á því að notendur eru að fá póst frá einhverju sem það þekkir og vill deila skjali með þeim. Til þess að geta skoðað skjalið þarf viðtakandi að slá inn lykiliorð.
Póstarnir eru mjög sannfærandi og koma oft frá einhverju sem það þekkir sem hefur misst O365 aðganginn sinn.
Þessi ógnarhópur er fljótur að breyta póstum þegar fyrri póstar eru hættir að virka og því þurfa notendur að vera vel á varðbergi.
Vera á varðbergi fyrir öðrum herferðum sem krefjast þess að notendur þurfi að auðkenna sig.
Hvert er markmið með svikunum?
Í einhverju dæmum hefur árásaraðili tekið afrit af öllum póstum og eytt þeim úr pósthólfi í framhaldinu. Póstarnir gætu innihaldið viðkvæmar upplýsingar sem eru þá komnar í hendur ógnaraðila. Pósthólf viðkomandi er síðan notað fyrir frekari svik. Þegar margir póstar eru sendir út er líklegt að einhverjir viðtakaendur séu búnir að setja upp sjálfvirkt svar. Til þess að vekja ekki grunsemdir eiganda pósthólfsins er árásaraðilinn búin að setja reglu á innhólfið, allir póstar sem berast í pósthólfið eru sjálfvirkt merktir sem lesnir og settir í möppu sem heitir Archive.
Hvað þarf að gera ef fallið er fyrir svikum?
Skrá út öll tæki sem skráð inn á viðkomandi reikning
Endursetjið lykilorð
Endursetjið tveggja þátta auðkenningu
Fara yfir aðra aðganga
Skoða innskráningarsögu (e. login history)
Skoða IP tölu árásaraðila og athuga hvort að hún finnist í öðrum innskráningar upplýsingum
