Campanha de phishing usa domínios de remetentes legítimos para contornar os filtros de monitoramento de reputação de IP
Especialistas em segurança descobriram uma campanha de phishing que tem como alvo as permissões de administrador do Office 365 e usa domínios de remetentes legítimos para contornar os filtros de monitoramento de reputação de IP. A PhishLabs, empresa especializada em segurança cibernética, disse que, como parte da campanha, e-mails maliciosos estão sendo enviados uma ampla variedade de indústrias e empresas.
O envio às pessoas que têm status de administradores do Office 365 ocorre por vários motivos, segundo a PhishLabs. Primeiro, porque os administradores têm acesso a dados e arquivos confidenciais, além de terem o controle administrativo sobre todas as contas de e-mail em um domínio. “Dependendo da configuração atual da instância do Office, uma conta de administrador comprometida pode permitir a recuperação de e-mails de usuários ou a aquisição completa de outras contas de e-mail no domínio”, disse a fornecedora de software de segurança.
Além disso, os administradores do Office 365 geralmente têm privilégios elevados em outros sistemas dentro de uma organização, permitindo que ocorram outros compromissos por meio de tentativas de redefinição de senha ou abuso de sistemas de logon único, completa o relatório da empresa. Assim, depois que um administrador é phishing, os invasores podem configurar novas contas na organização comprometida, que são usadas para enviar mais e-mails de phishing aparentemente legítimos.
Isso é benéfico para os invasores, porque muitas soluções de filtragem de e-mail alavancam a reputação de um domínio remetente como um componente importante para determinar se um e-mail deve ser bloqueado, diz a PhishLabs. “Domínios bem estabelecidos com histórico de envio de mensagens benignas têm menos probabilidade de serem rapidamente bloqueados por esses sistemas. Isso aumenta a capacidade de entrega e a eficiência das iscas de phishing.”
Ao criar contas para realizar o phishing, é mais provável que os hackers permaneçam sob o radar, acrescenta o documento da empresa.
As iscas de phishing são falsificadas para parecerem enviadas pela Microsoft — por exemplo, uma mensagem solicitando que o destinatário entre no Centro de Administração do Office 365 para atualizar as informações de pagamento. No entanto, os destinatários mais astutos poderão identificar que o domínio de envio não é da Microsoft, mas de outras organizações comprometidas. O Office 365 continua a crescer em popularidade: para usuários e, portanto, também para hackers. A Barracuda Networks descobriu mais de 1,5 milhão de e-mails maliciosos e spam enviados de milhares de contas comprometidas no espaço de apenas um mês no início deste ano.