微软中性Office 356账户攻击,使用巧妙的诡计

2020-07-09 06:04:09

微软已经平息了一场大规模的欺诈活动,该活动利用假冒域名和恶意应用程序在全球62个国家诈骗客户。

这家软件制造商和云服务提供商上周获得了一项法院命令,允许其没收六个域名,其中五个域名包含“办公室”一词。该公司表示,攻击者利用它们进行了一场复杂的活动,旨在欺骗首席执行官和其他高级商业领袖将大笔资金汇给攻击者,而不是信任方。早些时候的所谓BEC,即商业电子邮件泄露,去年12月实施的同一组攻击者利用网络钓鱼攻击获得未经授权的访问。这些电子邮件使用了季度收益报告等通用的商业主题。微软使用技术手段将其关闭。

攻击者带着一个新的BEC回来了,采取了不同的策略:这个骗局没有欺骗目标登录到相似的网站,从而泄露了密码,而是使用电子邮件指示收件人给予据称是微软应用程序访问Office 365账户的权限。最新的骗局以新冠肺炎疫情为诱饵。

微软负责客户安全和信任的公司副总裁汤姆·伯特(Tom Burt)写道:“这一计划使得未经授权的访问得以实现,而没有明确要求受害者直接交出他们在虚假网站或类似界面的登录凭证,就像他们在更传统的网络钓鱼行动中所做的那样,”微软负责客户安全和信任的企业副总裁汤姆·伯特(Tom Burt)写道。在单击恶意Web应用(如下图所示)的同意提示后,受害者无意中授予犯罪分子访问和控制受害者Office 365帐户内容的权限,包括存储在受害者的OneDrive for Business云存储空间和企业SharePoint文档管理和存储系统中的电子邮件、联系人、笔记和材料。

伯特引用了美国联邦调查局(FBI)2019年的一份报告,该报告称,BEC犯罪造成的损失超过17亿美元,几乎占互联网犯罪造成的所有经济损失的一半。根据这份报告,BEC是互联网犯罪中心收到的最昂贵的投诉。在一些执行得更好的活动中,高管收到的电子邮件似乎来自经理、会计或其他为组织工作的人。

伯特没有透露黑客的名字或从属关系,只是说他们很老练,并实施了12月的行动。

这并不是攻击者第一次欺骗目标授予恶意应用程序网络访问权限。去年,研究人员披露了至少另外两个,这两个都是为了进入谷歌账户而设计的。根据大赦国际的一份报告,其中一起是由为埃及工作的黑客实施的。另一种是针对藏族人的iOS和Android设备。

这两个活动都依赖于OAuth,这是一种开放标准,允许用户在不给网站或应用程序密码的情况下授予他们访问网络资源的权限。正如微软所说,这类攻击经常潜伏在受过识别网络钓鱼训练的用户的雷达之下,因为用户不需要在虚假网站上输入密码。在某些情况下,OAuth技术可能具有绕过双因素身份验证的能力,该双因素身份验证除了密码外,还需要用户输入临时密码或将物理安全密钥连接到正在进行身份验证的设备。

微软的伯特没有明确表示,最近这起案件中使用的应用程序是通过OAuth连接的。然而,在周三发布的另一篇帖子中,微软警告了“同意钓鱼”,即攻击者使用相同的OAuth方法。

微软的帖子提供了防止此类攻击的建议之一,就是启用双因素身份验证。打开2FA总是一个好主意,但目前还不清楚这一措施本身在预防这些攻击方面有多有效。有些网络可能不需要OAuth的第二个因素。而且,即使网络确实对OAuth实施了2FA,那些被骗连接应用程序的目标很可能也会被愚弄,提供第二个因素。

保护谷歌和G Suite账户免受OAuth诈骗的一种方法是打开高级保护,它对每一个第一次登录的新设备或应用程序严格执行基于硬件的2FA。该程序还限制了除少数应用程序之外的所有应用程序的连接,即使提供了密钥,因此它可能并不适合所有用户。其他2FA保护也有可能做同样的事情。

避免诈骗的其他方法是了解钓鱼的迹象,例如拼写错误的单词、糟糕的语法,以及指向一些网站的链接,这些网站命名了一家公司或产品,但将其与应用程序制造商或网站运营商不常用的单词组合在一起。周三的帖子提供了多种方式来发现恶意的OAuth应用程序。这些措施很难说是完美的,因此,网络钓鱼的有效性和低成本使其成为攻击者泄露账户的首选方法之一。尽管如此,这些步骤仍然值得遵循。