Un nou val de atacuri de phishing vizează utilizatorii Microsoft 365, exploatând serviciul Azure Blob Storage pentru a crea pagini de conectare false extrem de convingătoare. Atacatorii folosesc infrastructura Microsoft, iar paginile malițioase par legitime datorită certificatelor SSL oficiale, făcând atacul greu de detectat. Acest tip de atac se declanșează prin e-mailuri frauduloase deghizate în linkuri Microsoft Forms sau documente partajate.
Victimele sunt redirecționate către un URL care utilizează domeniul blob.core.windows.net. Aici, li se solicită introducerea credențialelor 365 pe o pagină falsă. Deoarece browserele au încredere în aceste puncte finale Azure, atacatorii obțin o aparență de legitimitate. Datele de conectare sunt furate, oferind acces la e-mailuri și la resurse sensibile ale organizației.
Se recomandă blocarea traficului către *.blob.core.windows.net în firewall-uri, permițând accesul doar către conturile de stocare de încredere. Măsurile esențiale includ autentificarea multi-factor (MFA) și verificarea URL-urilor; paginile legitime duc la login.microsoftonline.com, nu la căi de stocare blob.
Sfaturi de Protectie
1. Implementați Autentificarea Multi-Factor (MFA)
Obiectiv: Prevenirea compromiterii conturilor chiar dacă parola este furată.
Pasul 1: Accesați Centrul de Administrare Microsoft Entra ID (Azure AD).
Pasul 2: Navigați la Securitate > Acces Condiționat (Conditional Access).
Pasul 3: Creați o politică nouă care impune MFA (Require multi-factor authentication) pentru toți utilizatorii care accesează resursele Microsoft 365.
2. Blocați Traficul Neautorizat către Azure Blob
Obiectiv: Tăierea accesului la site-urile de phishing găzduite pe subdomenii necunoscute de Azure.
Pasul 1: Accesați configurația Firewall-ului de rețea sau a Proxy-ului Web al organizației.
Pasul 2: Adăugați o regulă de blocare a traficului de ieșire (Egress) către domeniul *.blob.core.windows.net.
Pasul 3: Adăugați excepții (Whitelisting) doar pentru conturile de stocare Azure legitime, necesare operațiunilor companiei.
3. Restricționați Accesul la "Guest Links" Suspecte
Obiectiv: Minimizarea riscului ca atacatorii să folosească linkuri de partajare anonime pentru a iniția sau redirecționa atacul.
Pasul 1: Accesați Centrul de Administrare SharePoint Online.
Pasul 2: Navigați la Politici (Policies) > Partajare (Sharing) și setați politica de partajare la: Permiteți partajarea doar cu utilizatori existenți sau oaspeți autentificați.
Pasul 3: Dezactivați partajarea de tip "Oricine (Anyone)" sau limitați linkurile anonime la permisiunea de "Doar Vizualizare" (Read-Only).
4. Monitorizați Tentativele de Conectare Anormale
Obiectiv: Detectarea timpurie a utilizării credențialelor furate.
Pasul 1: Activați Microsoft Entra ID Protection (sau Azure AD Identity Protection).
Pasul 2: Configurați politicile de risc pentru utilizatori și de risc la conectare.
Pasul 3: Generați alerte de severitate mare pentru evenimente precum: Conectare de la adrese IP anonime sau Conectare de la locații atipice.
5. Verificarea Domeniului de Autentificare (URL)
Obiectiv: Identificarea paginilor de autentificare false prin detectarea discrepanțelor dintre adresa URL afișată și domeniul oficial Microsoft.
Pasul 1: Pe pagina de login, verificați imediat bara de adrese a browserului și identificați domeniul principal al URL-ului.
Pasul 2: Asigurați-vă că domeniul principal corespunde strict cu adresa oficială Microsoft 365 - login. microsoftonline. com sau portal. office. com.
Pasul 3: Orice adresă care conține sau se termină cu windows. net (sau alte domenii de stocare în cloud) este suspectă și trebuie raportată, chiar dacă folosește un certificat de securitate valid.
6. Aplicați Protecția "Safe Links"
Obiectiv: Scanarea automată a URL-urilor, inclusiv a celor interne, înainte ca utilizatorul să le acceseze.
Pasul 1: Accesați Centrul de Securitate Microsoft Defender pentru Office 365.
Pasul 2: Configurați politica Safe Links (Linkuri de Siguranță).
Pasul 3: Asigurați-vă că politica este activată pentru e-mailuri și aplicațiile Office, iar URL-urile suspecte sunt rescrise și blocate.
7. Filtrați E-mailurile care Conțin Linkuri "Forms" Suspecte
Obiectiv: Reducerea șanselor ca e-mailurile care declanseaza atacul să ajungă în Inbox
Pasul 1: Creați o regulă de flux de mail (Mail Flow Rule) în Exchange Online Protection (EOP).
Pasul 2: Setați regula să filtreze mesajele cu linkuri către forms.office.com care provin de la expeditori externi (nu din organizație).
Pasul 3: Marcați aceste e-mailuri ca Spam sau plasați-le în carantină.
8. Monitorizați Jurnalele de Audit pentru Crearea de Conturi Suspecte
Obiectiv: Detectarea atacatorilor care încearcă să escaladeze privilegiile după furtul credențialelor.
Pasul 1: Monitorizați constant Jurnalele de Audit (Audit Logs) din Centrul de Conformitate Microsoft 365.
Pasul 2: Concentrați-vă pe evenimentele critice: Crearea de utilizatori noi sau Atribuirea de roluri administrative (Role Assigned).
Pasul 3: Generați alerte imediate pentru orice activitate suspectă de acest tip, inițiată imediat după o conectare reușită a unui utilizator compromis.
9. Stabiliți Perioada de Valabilitate a Sesiunii de Autentificare
Obiectiv: Limitarea timpului în care un token de autentificare furat poate fi utilizat.
Pasul 1: Accesați politicile de Acces Condiționat (Conditional Access) din Entra ID.
Pasul 2: Creați o politică pentru Frecvența de Semnare (Sign-in frequency).
Pasul 3: Setați cerința de re-autentificare la o perioadă scurtă (de exemplu, 8 ore) pentru a forța reintroducerea credențialelor și revalidarea sesiunii.
10. Utilizați Soluții EDR/NGAV cu Filtrare Web
Obiectiv: Blocarea accesului la pagina de phishing de la nivelul stației de lucru.
Pasul 1: Asigurați-vă că soluția de Endpoint Detection and Response (EDR) sau Next-Generation Antivirus (NGAV) este instalată pe toate stațiile.
Pasul 2: Verificați ca motorul de protecție să fie actualizat și să utilizeze baze de date de reputație.
Pasul 3: Confirmați că politicile EDR blochează automat adresele URL asociate cu domenii de stocare cloud folosite pentru hosting de phishing.
Pentru mai multe sfaturi și informații despre securitatea cibernetică, vizitează regulat sigurantapenet.ro